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处 - 书 序 


信息 安全 已 成 为 国家 安全 的 重要 组 成 部 分 ,也 是 保障 信息 社会 和 信息 技术 可 持 
续 发 展 的 核心 基础 。 信 息 技术 的 迅猛 发 展 和 深度 应 用 必 将 带 来 更 多 难以 解决 的 信息 
安全 问题 ,只 有 掌握 了 信息 安全 的 科学 发 展 规律 , 才 有 可 能 解决 人 类 社会 遇 到 的 各 种 
信息 安全 问题 。 但 科学 规律 的 掌握 非 一 朝 一 夕 之 功 , 治 水 、 训 火 、 利 用 核能 曾经 都 经 
历 了 多 么 漫长 的 岁月 。 

无 数 事 实证 明 , 人 类 是 有 能 力 发 现 规律 和 认识 真理 的 。 今 天 对 信息 安全 的 认识 ， 
就 经 历 了 一 个 从 保密 到 保护 ,又 发 展 到 保障 的 趋 于 真理 的 发 展 过 程 。 信 息 安 全 是 动 
态 发 展 的 ,只 有 相对 安全 没有 绝对 安全 ,任何 人 都 不 能 宣称 自己 对 信息 安全 的 认识 达 
到 终极 。 国 内 外 学 者 已 出 版 了 大 量 的 信息 安全 著作 ,我 和 我 所 领导 的 团队 近 10 年 来 
也 出 版 了 一 批 信息 安全 著作 ,目的 是 不 断 提 升 对 信息 安全 的 认识 水 平 。 我 相信 有 了 
这 些 基 础 和 积累 ,一 定 能 够 推出 更 高 质量 和 更 高 认识 水 平 的 信息 安全 著作 ,也 必 将 为 
推动 我 国信 息 安全 理论 与 技术 的 创新 研究 做 出 实质 性 贡献 。 

本 丛书 的 目标 是 推出 系列 具有 特色 和 创新 的 信息 安全 理论 与 技术 著作 ,我们 的 
原则 是 成 熟 一 本 出 版 一 本 ,不 求 数量 ,只 求 质 量 。 和 希望 每 一 本 书 都 能 提升 读者 对 相关 
领域 的 认识 水 平 ,也 希望 每 一 本 书 都 能 成 为 经 典范 本 。 

我 非常 感谢 清华 大 学 出 版 社 给 我 们 提供 了 这 样 一 个 大 舞台 ,使 我 们 能 够 实施 我 
们 的 计划 和 理想 ,我 也 特别 感谢 清华 大 学 出 版 社 张 民 老师 的 支持 和 帮助 。 

限于 作者 的 水 平 ,本 从 书 难免 存在 不 足 之 处 , 敬 请 读者 批评 指正 。 


冯 登 国 
2009 年 夏 于 北京 
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月 - 言 


信息 安全 作为 一 门 重要 的 学 科 方 向 ,与 其 他 学 科 一 样 , 有 其 自身 的 方法 论 。 从 理 
论 与 技术 研究 角度 来 看 ,信息 安全 有 其 自身 的 研究 方法 学 ;从 管理 角度 来 看 ,信息 安 
全 有 其 自身 的 管理 方法 学 ;从 工程 与 应 用 角度 来 看 ,信息 安全 有 其 自身 的 工程 方法 
学 。 本 书 重点 讲述 信息 安全 的 研究 方法 学 ,我 们 称 之 为 信息 安全 中 的 数学 方法 与 技 
术 。 数 学 方法 与 技术 是 研究 和 掌握 信息 安全 理论 与 技术 的 基础 和 工具 。 

面向 信息 安全 专业 本 科 生 教育 的 数学 教材 (信息 安全 数学 基础 ) 是 从 基础 的 角度 
介绍 与 信息 安全 相关 的 数学 基础 知识 ,本 书 则 是 从 研究 与 打 基 础 并 重 的 角度 介绍 研 
究 和 掌握 信息 安全 理论 与 技术 必 备 的 数学 方法 与 技术 。 本 书 的 特点 如 下 : 

(1) 内 容 全 面 。 涵 盖 了 当前 研究 信息 安全 理论 与 技术 的 主要 方法 与 技术 ,包括 
初等 数论 ,代数 ,椭圆 曲线 、 组 合 论 、 图 论 、 概 率 论 、 人 信息论、 数理 统计 、 随 机 过 程 、 频 谱 、 
纠 错 编码 ,计算 复杂 性 、 数 理 人 逻辑 ,数字 信号 处 理 、 数 据 挖掘 软件 安 全 性 分 析 等 方法 
与 技术 。 

(2) 针对 性 强 。 紧 密 结合 信息 安全 理论 与 技术 研究 的 需求 和 掌握 信息 安全 理论 
与 技术 工具 的 需求 ,重点 介绍 研究 方法 与 技术 ,并 选择 有 代表 性 的 应 用 进行 举例 ,将 
研究 方法 与 技术 和 信息 安全 融 为 一 体 。 不 仅 适用 于 专门 从 事 信息 安全 研究 的 专业 人 
员 ,而 且 也 适用 于 从 事 相 关 理 论 与 技术 的 研究 人 员 了 解 理论 与 技术 在 信息 安全 中 的 
应 用 示范 。 

(3) 起 点 高 。 重 点 从 研究 的 视角 介绍 信息 安全 中 的 数学 方法 与 技术 ,并 对 方法 
和 技术 做 了 高 度 提炼 。 例 如 , 纠 错 编码 方法 与 技术 这 一 章 ,不 仅 是 对 信息 安全 研究 中 
所 用 到 的 纠 错 编码 方法 与 技术 的 高 度 总 结 , 而 且 也 是 现 有 纠 错 编 码 重要 方法 与 技术 
的 一 个 高 度 概括 。 

本 书 是 作者 长 期 从 事 信息 安全 研究 工作 的 方法 和 经 验 的 总 结 , 同 时 ,也 吸收 了 国 
内 外 现 有 相关 著作 中 的 一 些 精华 .这些 相关 著作 已 在 参考 文献 中 列 出 。 另 外 ,本 书 在 
中 国 科学 院 研 究 生 院 开 设 的 研究 生 课 程 中 和 信息 安全 国家 重点 实验 室 的 研究 生 班 中 
讲授 过 多 次 ,这些 实 践 工 作对 本 书 的 形成 具有 十 分 重要 的 意义 。 

本 书 是 由 在 一 线 从 事 信息 安 全 研究 的 科研 工作 者 完成 的 。 第 1 章 由 胡 春 教授 执 
笔 : 第 2 章 由 林 东 岱 研究 员 执笔 :第 3 章 由 王 鳗 鹏 副教授 执笔 :第 4 章 由 周 林 芳 副 教 
授 执笔 ,第 5 章 的 5.1 节 一 5.5 节 由 李 宝 教授 执笔 ,5. 6 节 一 5.7 节 由 汉 登 国教 授 执 
笔 ,第 6 章 由 张 振 峰 副 研 究 员 和 汉 登 国教 授 执笔 ,第 7 章 由 陈 华 副 研究 员 和 冯 登 国教 
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授 执笔 ,第 8 章 由 匡 文 玲 研 究 员 执笔 ,第 9 章 由 武 传 坤 研究 员 执 笔 , 第 10 章 由 赵 亚 群 
教授 和 冯 登 国教 授 执笔 ,第 11 章 由 冯 登 国教 授 执笔 ,第 12 章 由 徐 静 副 研究 员 执 笔 ， 
第 13 章 由 薛 锐 研 究 员 执笔 ,第 14 章 由 赵 险 峰 副 研 究 员 和 汉 登 国教 授 执笔 ,第 15 章 
由 连 一 峰 副 研究 员 和 汉 登 国教 授 执笔 :第 16 章 由 苏 正 寄 副 研究 员 和 冯 登 国教 授 执 
笔 。 全 书 由 冯 登 国教 授 策划 和 统 稿 。 

本 书 在 写作 过 程 中 得 到 了 清华 大 学 出 版 社 的 大 力 支持 和 国家 重点 基础 研究 发 展 
规划 项 目 ( 项 目 编号 :2007CB311202) 和 国家 自然 科学 基金 重点 项 目 ( 项 目 编号 : 
60833008) 的 资助 ,在 此 表示 衷心 的 感谢 。 


冯 登 国 
2009 年 8 月 于 北京 
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第 1 章 初等 数论 方法 与 技术 


数论 是 研究 自然 数 1.2.3、… 性 质 的 一 门 数学 分 支 。 历 史上 ,人 们 很 早 就 开始 数 
论 的 研究 ,取得 了 十 分 丰富 的 研究 成 果 。 今天 .数论 不 仅 自身 发 展 成 为 一 门 浩 瀚 、 艰 
深 的 数学 分 支 , 而 且 已 成 为 其 他 领域 (如 通信 .信息 安全 ) 的 重要 研究 工具 。 

信息 安全 中 涉及 很 多 数论 方法 与 技术 ,限于 篇 幅 , 本 章 重点 介绍 信息 安全 中 常用 
的 一 些 数论 结论 和 数论 算法 ,包括 中 国 剩余 定理 、 欧 拉 定 理 、 欧 氏 算法 、 素 数 检测 算法 
等 。 最 后 ,作为 这 些 数 论 结果 的 应 用 ,介绍 RSA 密码 算法 和 Rabin 密码 算法 的 工作 
原理 。 


1.1 基本 概念 

本 节 主 要 介绍 初等 数论 中 的 一 些 基本 概念 ,包括 整除 . 同 余 、 剩 余 类 .二 次 剩余 等 。 
1.1.1 整除 

通常 用 Z 表示 整数 的 集合 , 即 


Z= {0; 土 1; 土 2,…} 
众所周知 ,Z 对 于 普通 的 加 、 减 、 乘 3 种 运算 是 封闭 的 , 即 Z 中 的 任何 两 个 数 的 
加 、 减 、 乘 的 运算 结果 都 在 Z 中 ,但 QZ 对 于 除法 是 不 封闭 的 。 给 定 两 个 整数 a 和 0， 
5 二 0, 则 有 所 谓 的 带 余 除 法 , 即 存在 整数 g 和 ,使 得 
a=gb++r, 0<r<=6b Cl 
通常 将 gq 称 为 a 除 以 2 的 商 ,r 称 为 a 除 以 5 的 余数 (又 称 最 小 非 负 剩余 ) 。 
事实 上 , 令 ul 是 不 超过 分 数 庆 的 最 大 整数 , 则 0 六 一 qg 三 1, 即 有 
Oa—gb<=6b 
令 7 二 a 一 gb, 则 gr 满足 式 (1.1) 的 要 求 。 
当 一 0 时 ,a 二 qb, 则 称 5 整除 4, 或 5 是 a 的 因子 或 a 是 2 的 倍数 , 记 做 51a; 反 
之 , 若 上 述 最 小 非 负 剩余 ~ 入 0, 则 称 2 不 整除 < , 记 做 5bta。 
易 验 证 ,整除 有 以 下 性 质 : 
(1) 车 alb,blc, 则 alc; 
(2) 车 alb,alc, 则 alb 土 c; 


(3) 若 albiyci:EZ ,i 二 1,2,-…,m; 则 a| Babes 
i=1 


整除 的 概念 自然 可 以 推广 到 因子 是 负 整 数 的 情形 。 不 难 验 证 ,车 a15.51a, 则 
和 生生 下 


& 
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1.1.2 最 大 公 因 子 


设 a 和 2 是 不 全 为 0 的 整数 ,能 够 同时 整除 a 和 2” 的 最 大 正 整 数 d, 称 为 a 和 6。 
的 最 大 公 因 子 , 记 做 d 二 gcd(a.,0)。 

最 大 公 因 子 一 定 存 在 。 事 实 上 ,a 和 2 的 最 大 公 因 子 存在 于 集合 

S= {mati+nb|lm.n€EZ} 
之 中 ,并 且 是 这 个 集合 中 的 最 小 正 整 数 。 记 S 中 的 最 小 正 整 数 为 d 二 ma 十 nD ,可 以 
证 明 d 二 gcd(a,5)。 首 先 ,这 个 集合 中 的 每 个 元 素 ma 十 nb 一定 是 d 的 倍数 。 作 带 余 
除法 ,ma 十 nb 二 dg 十 r, 则 
六 一 722Q 十 10 一 gz 十 20) = (mm— gm at+n—gn ES 

因为 4 是 S 中 的 最 小 正 整 数 ,而 0 三 r 二 d, 所 以 r= 二 0, 即 dma 十 nb5。 其 次 dla, 因 为 
a 二 1*a 十 0* bES。 同 理 d16b, 所 以 d 是 a 和 2 的 公 因 子 。 青 次 ,对 于 a 和 2 的 任意 
一 个 公 因子 d', 因 为 dla,d'15, 所 以 d' 整 除 ma 十 nb, 即 d'1d。 因 此 d 是 a 和 2 的 
最 大 公 因 子 。 

上 述 证明 过 程 表明 ,最 大 公 因 子 4 二 gcd(a,5) 满 足以 下 性 质 : 

(1) 存在 正 整 数 m 入, 使 得 4 二 ma 十 nb; 

(2) 对 任意 整数 mm 和 nn, 均 有 dd|ma 十 nb; 

(3) 车 cla,c165, 则 cld。 

另外 ,从 最 大 公 因 子 的 定义 出 发 可 以 直接 证 明 , 对 任意 整数 a.bc, 都 有 gcdCe ,0) 一 
gcd(atbe,.b), 

若 两 个 整数 的 最 大 公 因 子 为 1, 则 称 它们 互 素 。 

一 个 大 于 1 的 整数 p 称 为 素数 ,如 果 它 只 有 1 和 p 两 个 正 的 因子 。 对 于 素数 p， 
则 有 以 下 性 质 : 车 plab. 则 pla 或 p16。 

这 是 因为 车 pta, 则 gcd(p.a) 二 1。 设 m,nE2Z 使 得 am 十 pn 二 1, 则 

b= (ab)m+t pnb) 

是 p 的 倍数 ,因为 上 式 右边 的 ab 和 pp 都 是 p 的 倍数 。 

这 个 性 质 可 以 推广 为 : 若 gcd(a,m) 二 1.mlab,; 则 m15。 


1.1.3” 同 余 式 


如 果 两 个 整数 a 和 2 除 以 mm 的 最 小 非 负 剩 余 ( 余 数 ) 是 相同 的 , 则 称 它 们 模 mx 同 
余 , 记 做 


a 二 b(mod m) 
显然 ,a 和 2 模 m 同 余 等 价 于 m1a 一 45。 
不 难 证 明 , 同 余 具 有 以 下 性 质 : 
(1) 车 a; 寺 b; (mod 1) ,i 一 1,2, 则 a 十 as 寺 bi 十 bz (mod m) ,aias 夺 bs (mod m); 
(2) 若 ac 寺 bc(mod m) ,gcd(c.m) 二 1, 则 a 寺 6(mod m); 


Ca 的 公 因 子 , 则 号 = 全 (mod 2 
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1.1.4 剩余 类 


整数 相 除 时 大 多 数 情形 是 最 小 非 负 剩余 (余数 ) 不 为 0。 依照 余数 ,可 以 将 整数 
集合 Z 划分 成 若干 个 子 集 。 

设 m 是 正 整数 ,0 三 i 三 m 一 1。 将 除 以 m 余 i 的 所 有 整数 形成 的 集合 记 做 C;, 则 

Ci 一 (一 2 十 zi 一 位 十 2 7 十 22712 十 2 

显然 ， ee C1,… ,Cm-1 这 m 个 子 集 合 , 或 者 说 Z 是 这 个 不 相交 
的 子 集 的 并 。 这 m 个 子 集 称 为 模 ,的 襄 个 剩余 类 。 

显然 ,a 属于 模 m 的 同一 个 剩余 类 ,等 价 于 < 和 6 模 m 同 余 。 

剩余 类 的 一 个 特点 是 : 可 以 在 剩余 类 形成 的 集合 上 定义 加 法 和 乘法 运算 ,这 人 
得 剩余 类 的 集合 成 为 一 个 拥有 加 ` 减 、. 乘 3 种 运算 的 代数 集合 ,而 这 个 代数 集 是 一 
有 限 集合 ,只 包含 m 个 元 素 ( 即 m 个 剩余 类 )。 与 无 限 代 数 集 如 2 ga 

数 集合 更 适合 应 用 于 信息 处 理 的 许多 领域 ,如 通信 ,信息 安全 等 。 
剩余 类 的 加 法 和 乘法 具体 定义 如 下 : 
Ci+C;= {a+b|la€ CbEC,} 
CCG= {2b|la€ECbed)} 
记 2Z 是 模 m 的 剩余 类 Co ,Ci,…,C,-1 的 集合 。 不 难看 出 ,由 于 剩余 类 有 以 下 性 质 : 
Ci=i+Co 
即 C; 中 每 个 元 素 是 i 与 零 剩 余 类 C。 中 某 个 元 素 之 和 (反之 亦 然 ) ,上 述 剩 余 类 的 加 
法 和 乘法 实际 上 是 
Ci 十 Ci 一 1 十 1 十 Co 一 Cu 
Ci。Ci 一 zi。j1 十 Co 一 Cn。 

其 中 和 w 分 别 是 i 十 j 和 ii，j 除 以 mm 的 最 小 非 负 剩 余 。 因 此 .2 的 代数 运算 实际 
上 是 i 和 j 的 相应 运算 ,再 将 结果 对 应 到 某 个 剩余 类 。 如 果 将 剩余 类 用 0,1,…,m 一 1 
来 标记 ,剩余 类 i 和 j 的 运算 等 价 于 将 整数 i 和 j 的 运算 结果 除 以 冯 求 最 小 非 负 番 余 。 
实际 上 在 每 个 剩余 类 C; 中 选 一 个 代表 元 ,剩余 类 的 运算 实际 上 就 是 它们 的 代表 元 的 运 
算 。m 个 剩余 类 的 m 个 代表 元 (每 个 代表 元 对 应 一 个 不 同 的 剩余 类 ) 构 成 一 个 模 m 完 
全 剩余 系 。 可 将 Qs 等 同 于 任何 一 个 模 m 完全 剩余 系 ,如 忆 . 一 410,1,…,z2 一 1)。 

显然 ,剩余 类 的 代表 不 是 唯一 的 ,一 个 剩余 类 中 的 每 个 元 素 都 可 以 选 作 代表 。 


1.1.5 欧 拉 函 数 与 既 约 剩余 系 


在 模 mx 的 一 个 剩余 类 中 , 若 有 一 个 数 与 交互 素 . 则 该 剩余 类 中 所 有 的 元 素 都 与 
mn 互 素 。 称 该 剩余 类 为 既 约 剩余 类 。 它 们 是 代表 元 与 m 互 素 的 剩余 类 。 

模 mm 既 约 剩余 类 的 个 数 记 为 PC )。 称 g(。，) 为 欧 拉 函数 。 显 然 .gl(m) 等 于 
0,1,…,m 一 1 中 与 交互 素 的 整数 的 个 数 。 在 每 个 既 约 剩余 类 中 取出 一 个 代表 元 , 共 
glm) 个 元 素 ,它们 组 成 模 mx 的 一 个 既 约 剩余 系 。 

例 1.1.1 设 m 二 15,{1,2,4,7,8,11,13,14) 是 模 15 的 一 个 既 约 剩余 系 ， 
2p(15) 一 8。 
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按照 剩余 类 的 乘法 ( 即 QB 的 乘法 ) , 既 约 剩余 类 在 该 运算 下 封闭 . 即 若 C; 和 C; 是 
两 个 既 约 剩余 类 , 则 C;* C; 也 是 既 约 剩余 类 。 换 句 话 说 , 若 整 数 ; 和 7 都 与 互 素 ， 
则 2.7 也 与 m 互 素 (1.1. 2 小 节 最 后 一 个 性 质 ) 。 但 是 ,两 个 既 约 剩余 类 之 和 不 一 定 
是 既 约 剩余 类 ,例如 ,C 十 C. :等于零 剩余 类 ,就 不 是 既 约 剩余 类 。 人 们 把 既 约 剩余 
类 的 集合 记 做 QZ ,那么 Z% 含 有 gCm) 个 元 素 。 

Z% 的 元 素 可 以 列举 为 模 m 的 一 个 既 约 剩余 系 。 例 如 ,对 于 素数 冯 一 记 ,QB0 一 
{1,2,.…,p—1}。 

例 1.1.2 设 p=7,2Z; 的 乘法 表 如 表 1. 1 所 示 。 


表 1.1 ZZ; 的 乘法 表 


. 2 3 4 5 6 
1 1 2 3 4 5 6 
2 2 4 6 1 3 5 
3 3 6 2 5 | 4 
4 4 1 5 2 6 3 
5 5 3 1 6 4 2 
6 6 5 4 3 2 iL 


当 m 二 pp 为 素数 时 ,每 个 非 零 的 剩余 类 C .Cs ,…:C， :都 是 既 约 剩余 类 。 在 
Zs 中 定义 除法 为 乘法 的 逆 运 算 ( 除 数 不 为 Co)， 出世 总 罗 且 通融 四 虽 运 算 相 同 前 规 
律 ( 如 交换 律 .结合 律 和 分 配 律 ) 的 运算 体系 . 它 实 际 上 是 一 个 含 p 个 元 素 的 有 限 域 ， 
关于 Z, 的 更 多 讨论 将 在 1. 3. 2 小 节 进 行 。 

例 1.1.3 在 美国 数字 签名 算法 DSA 标准 中 ,人 们 使 用 了 一 个 大 的 Z,, 其 中 pp 
是 一 个 二 进 制 展 开 在 512 位 以 上 的 大 素数 。DSA 标准 中 的 关键 运算 是 Z。 上 的 运算 ， 
即 整数 模 p 运算 。 


1.1.6 二 次 剩余 


设 mm 二 1 为 整数 ,n 与 m 互 素 。 若 
zz 三 72Cmod m) Ls 
有 人 解 , 则 称 为 模 m 的 二 次 剩余 ;否则 称 为 二 次 非 剩余 。 
例 1.1.4 设 m 一 11。( 土 1)?,( 填 2)?,( 士 3)?*,( 士 4)?*,( 土 5)? 模 11 的 余数 是 
1,4,9,5,3, 模 11 的 二 次 剩余 为 1,3,4.5,9, 二 次 非 剩 余 为 2,6,7,8,10。 
对 于 奇 素数 办 一 户 , 模 的 一 个 既 约 剩余 系 为 { 土 1, 士 2,…, 士 f+)。 当 工 跑 
遍 一 个 既 约 剩余 系 时 ,由 式 (1. 2),n 跑 遍 模 p 的 全 部 二 次 剩余 。 设 1 二 |z| 二 |zz| 三 


2 一 ,不 难 证 明 zx? 模 p 不 同 于 zz?。 因此 (十 ,( 填 2),…,( 土 23+) 是 模 p 的 全 


部 不 同 的 二 次 剩余 ,将 所 有 的 43 个 模 p 的 二 次 非 璋 余 洪 加 进来 ,恰好 构成 模 p 的 
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既 约 剩余 系 。 
设 p 记 2 为 素数 ,定义 Legendre 符号 : 


0 若 pln 
-| 


1 若是 模 p 的 二 次 剩余 
一 1 若是 模 户 的 二 次 非 剩 余 
显然 , 当 n 硅 n’(mod 已 时 ,( 冯 } 一 ( 筷 )。 


1.2 基本 原理 


1.2.1 中 国 剩余 定理 


我 国 古 代 有 一 部 著名 的 数学 专著 《孙子 算 经 》, 书 中 有 这 样 一 个 “ 物 不 知 其 数 ” 问 
题 :“ 今 有 物 不 知 其 数 , 三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几 何 ?” 这 
就 是 要 求 同 余 方程 组 


Zz 夺 3(mod 5) 
x 2(rmod 7) 
的 正 整 数 解 。 书 中 给 出 了 这 个 问题 的 答案 x 二 23, 其 所 用 方法 在 明 朝 程 大 位 的 《算法 
统 要 》 中 用 四 句 诗 描述 如 下 : 
三 人 同行 七 十 稀 ,五 树 梨花 廿 一 枝 ， 
七 子 团圆 正月 半 . 除 百 零 五 便 得 知 。 


=2(Cmod 3) 


意思 是 , 若 令 
za 一 3， M)=70, m=5, NM: 一 21， ms =7, NM: 一 15 
则 
T=2M+3M;,+2M, = 23(mod 105) 

上 述 M; 具有 以 下 特性 : 对 i 隆 j 有 

M; = 1(mod m;) 

全 =0Cmod mj) 
实际 上 ,这 给 出 了 以 下 一 般 的 求解 同 余 方 程 组 的 方法 。 


定理 1.2.1 设 m,ms，…,ms 是 两 两 互 素 的 正 整 数 ,N 二 mm mM 一 六 ， 
令 Mi 是 使 得 MIM; 寺 1(mod mi) 的 正 整 数 , 则 同 余 方 程 组 
TI 和 尘 ai(mod mi) 
Zazs (mod ms:s) 人 
三 ar(mod mx) 


的 解 是 
zr 三 MiMa+M Ma + MiMiar (mod N) Cl. 4 
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该 定理 的 证 明 很 容易 。 例 如 ,可 直接 验证 式 (1.4) 给 出 的 解 满 足 式 (1.3) 第 一 个 
方程 ( 记 式 (1. 4) 右 边 的 数 为 gw): 因为 M;,M;,…,Mi 都 是 mi 的 倍数 ,所 以 “= 
MI1 Ma (mod m1)。 又 因为 MiMi 寺 1(mod xm ) ,所 以 wu 圭 Mi Miai 寺 ai (mod m1)。 

定理 中 M! 存 在 是 因为 M, 与 m; 互 素 。 实 际 上 ,已 假设 ma ,ms,… ,mx 两 两 互 素 。 
用 欧 氏 算法 ( 详 见 1. 3. 1 小 节 ) 可 以 求 出 M!, 因 此 ,该 定理 给 出 了 求解 同 余 方 程 的 有 
效 解法 。 上 述 M; 在 我 国 古代 数学 著作 中 被 称 为 衍 数 ,Mi 称 为 乘 率 ,宋代 数学 家 秦 九 
韶 称 上 述 解法 为 * 求 一 本 ”。 

定理 1. 2. 1 在 我 国 被 称 为 “孙子 定理 ,外国 文献 中 称 为 “中 国 剩 余 定理 ”。 这 个 
定理 在 数论 中 很 重要 , 它 的 思想 在 近代 数学 中 经 常 被 用 到 。 

设 N 为 正 整 数 ,N 二 ph pz…pk 是 NN 的 完全 因子 分 解 (其 中 pi,p:，… ,pr 是 互 
不 相同 的 素数 ,e; 三 1)。 利 用 中 国 和 镜 余 定理 ,可 以 将 求 z(mod N) 的 问题 转化 为 求 
ZX(mod pp ) 的 问题 ,后 者 可 以 进一步 借助 p-adic 理论 转化 成 模 p 问题 进行 求解 。 


1.2.2 ” 欧 拉 定理 和 费 马 小 定理 
设 m 是 正 整数 ,plm) 是 欧 拉 函数 。 对 与 m 互 素 的 整数 a ,有 


ar”™ = 1(mod m) 《155 


这 个 结论 称 为 欧 拉 定理 。 
其 证 明 如 下 : 设 a1,az，… ,ayow 为 模 mm 的 一 个 既 约 剩余 系 , 即 Cs ,Cs,，… Com 
为 模 m 的 全 部 既 约 剩余 系 。 将 这 些 剩余 类 与 C。 相 乘 ,得 到 Cs, ,Cw,，… ,Cw ,后 

者 也 两 两 不 等 构成 一 个 完整 的 既 约 剩余 类 集合 ,因此 它们 的 乘积 剩余 类 必 相 等 , 即 
€ 


= Curom 


A102 "ap(m) 3122 “apm) 


将 两 边 除 以 Cs。 ss 得 
Ci = Crm 
即 得 式 (1.5) 。 
欧 拉 定 理 有 一 个 特例 一 一 费 马 小 定理 。 设 允 一 户 是 一 个 素数 ,对 任 给 的 整数 a， 
都 有 
a? = a(mod p) 和 
费 马 小 定理 证 明 如 下 : 若 a 不 是 p 的 倍数 , 则 a 和 pp 互 素 ,由 于 pg(p) 二 p 一 1, 由 
欧 拉 定 理 可 知 ,a*! 硅 1(mod p), 两 边 乘 以 a 即 得 式 (1.6)。 当 a 是 p 的 倍数 时 ， 


式 (1.6) 两 边 都 是 p 的 倍数 ,因而 自然 成 立 。 
1.2.3 欧 拉 函数 的 计算 


在 1.1.5 小 节 中 曾经 定义 了 欧 拉 函 数 g(m) 为 模 mx 的 既 约 剩余 类 的 个 数 , 亦 即 
0,1,…,m 一 1 中 与 交互 素 的 整数 个 数 。 设 p 是 素数 。 当 mm 二 2 为 素数 时 ,1{1,2,…， 
bp 一 1}) 是 模 p 的 一 个 既 约 剩余 系 ,因此 pg(p) 一 p 一 1。 当 mm 一 p* 时 ,集合 {1,2,…， 
P' 一 1) 去 掉 其 中 的 子 集 {pil0 志 i 三 p“! 一 1} 后 ,恰好 构成 模 p* 的 一 个 既 约 剩余 系 , 因 
此 gpg(p) 二 pp 一 p”! 二 pp” !'(p 一 1)。 对 于 一 般 的 情况 , 设 x 一 ph pz…p%% 是 m 的 完 
全 因子 分 解 ( 即 pi ,ps，… .pr 是 互 不 相同 的 素数 .e; 宇 1) ,如 何 计算 yg(m) 呢 ? 
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首先 考虑 x 二 mmz, 且 mm 与 mz 互 素 的 情况 。 设 zi 跑 遍 模 m 的 一 个 既 约 剩 
余 系 , 设 zs 跑 遍 模 mr 的 一 个 既 约 剩余 系 。 证 明 wuzs 十 moxi 取 遍 模 mmm 的 一 个 
既 约 剩余 系 。 这 需要 证 明 3 点 。 

首先 ,需要 证 明 当 (zi ,zs) 的 取 法 不 同时 ,mzz 十 mzzxi 模 mims 不 同 余 。 证 明 它 
的 反面 。 设 


1222 十 721 = mrs mr (mod mims) Cl 7 
要 证 明 (zx1,xs) 二 (x1,x2)。 由 式 (1.7) ,两边 模 wm 得 
mzx1 SE mx (mod mi) 


因为 mi 与 ms 互 素 , 则 有 坟 寺 zi(mod mai)。 因 为 myzi 取 自 模 za 的 同一 个 既 约 剩 
余 系 , 则 有 zi 二 x1。 同 理 zs 二 xx。 

其 次 ,证明 xz 十 mazzi 与 mums 互 素 , 即 mrazs 十 mzxi 代表 模 wm1ms 的 一 个 既 
约 剩余 系 。 若 它们 有 大 于 1 的 公 因 子 , 则 必 有 素数 公 因 子 , 设 为 p。 由 于 plmim2， 
mm 与 ms 互 素 , 所 以 plmi 但 p lm, 或 者 plms 但 p lm。 不 妨 设 前 者 成 立 。 由 
Plmzzs 十 mzzx1， 从 而 有 plmzzi, 进 而 plzx1。 因 此 x 和 mr 有 公 因 子 加 二 1, 这 与 
zl 是 模 mi 的 既 约 剩余 系 的 代表 矛盾 。 

最 后 ,证 明 模 zzazzs 的 任意 一 个 既 约 剩余 系 必 有 一 个 形 如 mmazs 十 mpz 的 代表 元 。 
设 a 与 mms 互 素 。 由 于 加 与 mz 互 素 , 可 以 求 出 (如 用 1.3.1 小 节 中 的 欧 氏 算法 ) 
满足 

mzsX1 三 CCmod m) 
(8 
eg 三 a(mod m2) 


的 整数 zi ,zx。。 由 式 (1. 8) 可 以 推 得 


mzzs 十 1121 = a(mod mi) 
人 十 zzzli 三 CCmod ?zzz) 

由 于 mm 与 mz 互 素 , 则 有 
mizxzs + msz1 Ea(mod zzl7722 ) 


同时 ,因为 4 与 m; 互 素 ,由 式 (1.8) 可 知 x; 与 m; 互 素 。 
综合 以 上 3 点 ,证 明了 azs 十 zzzzl 取 遍 模 mms 的 一 个 既 约 剩余 系 。 因 此 ， 
Gm) = pm )P(C722 ) 。 
应 用 这 个 性 质 , 对 于 区 二 pf p2 …p& ,有 
pm)= pp ) pp pp ) 
= ph pg le pe (pi Om— 1)(ps OO—1)(pr — 1) 
例 1.2.1 设 n 是 两 个 不 同 的 素数 pg 的 乘积 , 即 n 二 pg; 则 PCD) 一 (一 1)(q 一 1)。 


1.3 典型 数论 算法 


1.3.1 欧 氏 算法 


设 a 和 2 是 两 个 正 整数 ,由 1.1.2 小 节 可 知 , 存 在 正 整 数 m 和 nn, 使 得 a 和 2 的 
最 大 公 因 子 d 二 gcd(a,5b) 可 以 表示 成 以 下 形式 : 
坟 一 az72 十 Da 本 本 
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欧 氏 算法 可 以 在 max{lga,lgb) 的 3 次 方 时 间 内 计算 出 dm 和 nn。 欧 氏 算法 也 用 于 
计算 同 余 方 程 
az Sd(mod n) 
的 解 zx。 
设 4 三。 首先 用 a 除 以 5 得 到 商 g。 和 余数 ro, 即 
Q& 一 po 十 ro 0ro =6b (1.10) 
车 ro 二 0; 则 bla,d 二 gcd (a,6)= 二 6 二 a*， 0 十 6，1, 已 经 求 出 了 d==b,m 一 0,n 二 1。 
车 wo 隆 0, 由 式 (1.10) 不 难 知道 5 和 xo 的 最 大 公 因 子 gcd(b,ro) 整 除 a, 因 而 整除 d， 
即 gcd(65,m)|gcdla,b)。 反 过 来 ,也 容易 推出 gcd(a.5) 1gcd(b,r)。 因 此 gcd(a,6) 王 
gcd(b,ro), 求 a 和 2 的 最 大 公 因 子 转化 成 求 和 ro 的 最 大 公 因 子 , 而 和 re 分 别 小 
于 a 和 0。 类 似 于 式 (1. 10) ,继续 对 4b 和 wo 作 带 余 除 法 ,得 到 
b=roqtr 0 委 产 二 mo C1. LLY 
车 ==0, 则 ro 二 gcd(65,ro)。 此 时 已 求 出 d==gcd(a,6)==ro==a*， 1 十 b。， (一 go)， 
因而 可 令 区 二 1,n 二 一 go。 
若 六 和 天 0, 因 为 gcd(5,ro) 二 gcd(ro ,ri) ,继续 上 述 过 程 , 令 
ro 一 7migz 十 re 0<r =n 
车 7s 二 0, 则 d= 二 gcd(rowni) 二 ri。 将 式 (1.10) 代 入 式 (1.11), 则 有 
d ri b—qgiro b—qi(a gob) 
a =)+be +ggy C1. 12) 
这 样 可 令 区 二 一 qi ,n 二 1 十 qoqi。 
若 六 和 关 0, 可 以 继续 上 述 过 程 , 依 次 得 到 一 mm 二 六 二 一 …。 由 于 这 些 数 是 非 负 
整数 ,一 定 会 有 某 个 x; 二 0。 设 rs 是 第 一 个 为 0 的 7;。 因 此 可 以 得 到 


Q& 一 bo 十 mo 
b=rogt+n 
ro 一 mg2 十 rz 
ra-3 一 re-2 qt-1 十 re- 
Te—2 一 7 一 1GA 
前 面 已 经 对 ;一 0,1 计算 出 wz 和 mi 使 得 
ri 一 C111; 十 on: 


对 于 i 二 2 的 情况 ,r; 可 以 计算 如 下 : 
ri= ris — qiriml 一 ami-z 十 bni-z — qi(amii + bni-i) 
= a(miz — qimi) b(n;s — qini) 


因此 ,得 到 递归 公式 
mo 一 1] ,7721 =— qi 712i = is — qimi1 
io —— qo = 1 gq sm — ms — dint 


由 于 7 二 0, 因 此 dd 一 gcd(Ca:p) 一 gcdCrmo:m) 一 一 gcdCm am il) 一 ml 而 罗 一 
ms-1 和 和 n 王 nn-1 是 求 得 的 满足 式 (1.9) 的 解 。 
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上 述 和 迭代 计算 g;、r; 和 递归 计算 m;、n; 的 方法 称 为 欧 几 里 得 算法 (简称 欧 氏 算 
法 ) 或 轧 转 相 除 法 。 人 们 通常 也 将 欧 氏 算法 分 为 欧 氏 算法 和 扩展 欧 氏 算法 , 欧 氏 算法 
只 计算 出 dd, 而 扩展 欧 氏 算法 可 计算 出 dm 和 nn。 

注意 , 式 (1.9) 的 整数 解 (m,n) 并 不 唯一 。 事 实 上 , 令 1 是 任意 整数 ,将 (m,n) 换 


成 (za 十 和 ,一人 ] 也 是 式 (1. 9) 的 解 。 欧 氏 算法 仅 求 得 式 (1.9) 的 一 个 整数 解 


Gn,n) ,但 由 这 个 解 不 难 求 出 其 他 任意 解 。 
关于 欧 氏 算法 的 计算 复杂 度 , 首 先 可 以 证 明 它 的 思 转 相 除 的 次 数 不 大 于 2lga 
( 设 a 宇 5)。 事 实 上 ,有 


ri rn (ls 13) 


可 以 如 下 证 明 式 (1. 13) 。 若 4 过 吉 训 , 则 4s 过 rmi 三 去 i。 车 吉 44 这 去, 则 坟 除 
以 ri 的 商 为 1, 即 有 
7 一 rintritz, ma = 一 rin 过 去 rn 


对 于 两 个 长 度 不 超过 lga 比特 的 整数 ,它们 作 带 余 除 法 的 计算 复杂 度 不 超过 
(lga)? 的 某 个 常数 们 ,因此 欧 氏 算法 的 计算 复杂 度 不 超过 (lga)? 的 常数 倍 。 
系数 取 自 某 个 域 (如 有 理 数 域 和 实数 域 ) 的 多 项 式 也 可 按 多 项 式 次 数 为 测度 作 带 
余 除 法 , 欧 氏 算法 也 适用 于 求 两 个 多 项 式 的 最 大 公 因 式 , 以 及 适用 于 求 多 项 式 同 余 
方程 
Arz) sg(r}= lmod f(z)) 
的 解 g(x) (给 定 A(zx) ,f(zx))。 
例 1.3.1 设 a 二 8211,5 二 2829, 用 欧 氏 算法 求 其 最 大 公 因 子 , 则 有 
8211 = 2 xX 2829 十 2553 
2829 二 1 XxX 2553 十 276 
2553 二 9 X276 十 69 
276 二 4X69 
因此 gcd(8221,2829) 一 69。 由 上 述 计算 可 以 得 到 
2553 一 8211 一 2 x 2829 
276 = 2829 一 2553 一 2829 一 (8211 — 2 X 2829) 一 一 8211 十 3 X2829 
69 一 2553 一 9X276 一 (8211 一 2X2829) 一 9X( 一 8211 十 3X2829) 
= 10 XxX 8211— 29 xX 2829 


1.3.2 二 次 剩余 判别 与 模 p 开平 方 根 算法 


1. 二 次 剩余 判别 算法 
首先 有 欧 拉 判别 条 件 : 


(#)= ns (mod p) 


i 信息 安全 中 的 数学 方法 与 技术 


其 证 明 分 ( 妇 )=1 和 (如)= 一 1 两 种 情况 ( 当 ( 一 0, 即 是 p 的 信 数 时 ,判别 条 
件 是 显然 成 立 的 )。 

车 (站) 一 1, 则 存在 整数 Zz 使 得 zx? 三 nCmod p)。 由 费 马 小 定理 ( 见 1. 2.2 小 节 ) 
有 zx?-! 二 1(mod p) ,所 以 n 守 二 x?! 二 1(mod p)。 

反 过 来 考虑 满足 n9 二 1(mod p) 的 n。 由 于 y 一 1 是 域 Z, 上 的 多 项 式 . 它 至 
多 有 2 二 个 解 (这 是 代数 学 中 的 一 个 基本 结论 ;。 上 面 已 经 证 明了 模 p 的 2 于- 个 二 


py 换 句 话说 ,对 于 模 p 的 任意 一 个 ee 
余 m,m 模 p 不同 余 1, 即 ptm 一 1。 另 外 ,由 费 马 小 定理 ,有 

plm”!—1= (m 守 = 
因此 plm 1, 即 ji 1= (加)cmod p)。 


上 述 欧 拉 判别 条 件 给 出 了 计算 [如 ] 的 一 个 方法 。 这 个 结果 一 定 是 1 或 p 一 1( 即 


Zs, 中 的 一 1)。 
不 过 ,计算 Legendre 符号 的 更 好 办 法 是 欧 氏 算法 ( 见 1. 3.1 小节 )。 这 需要 用 到 
以 下 的 二 次 互 反 律 : 设 天 9 是 两 个 奇 素数 , 则 一 定 有 


Q 了 1. [| 二 (一 由) 生 ' 宇 
SM 
限于 篇 幅 , 这 里 略 去 了 这 个 定理 的 证 明 , 其 证 明 可 从 有 关 初等 数论 的 书籍 中 找到 。 
二 次 互 反 律 的 意义 是 : 设 4 二 p 是 奇 素数 ， 则 计算 [ 世 ] 的 问题 可 轻易 地 转化 为 
计算 { 如), 而 后 者 是 更 小 模 数 的 问题 。 
一 般 地 , 设 二 器 玫 …qk 是 的 完全 分 解 , 则 由 欧 拉 判 别 条 件 可 以 得 到 
n qi\)"'/gs\)®*... /ge 
BSE) 
对 于 奇 素数 % ,| 和 ] 的 计算 根据 二 次 互 反 律 可 以 转化 为 ( med 02 ] 的 计算 。 而 对 
于 偶数 的 情形 , 则 有 


于 p=1,7(mod 8) 
一 1 p=3,5(mod 8) 


{ 姑 “]. 因 此 :如果 全 1 一 “一 包 可 以 通过 计算 


(等 的 和 (了 ) 来 计算 ( 攻 
一 1 11 pl(mod 4) 
a p=3(mod 4) 
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上 述 计算 方法 中 要 用 到 ?的 因子 分 解 , 而 因子 分 解 是 一 个 比 模 指数 运算 要 难得 
多 的 问题 。 为 了 弥补 这 个 缺陷 ,引进 Jacobi 符号 : 设 m 为 正 奇数 ,m 二 pip2*… pr pi 


为 奇 素数 ,并 可 以 重复 出 现 。 对 于 与 mw 互 素 的 奇 整数 ,定义 Jacobi 符号 (过 ] 如 下 ， 


(后 后 -四 


在 Jacobi 符号 的 定义 中 要 求 n 与 mr 互 素 , 且 m 为 奇数 。 对 于 Jacobi 符号 ,可 以 
证 明 同 样 有 
的 人 人 (了 对 )- 人 pl1(mod 4) 
一 1 p=3,5(mod 8) 一 1 p=3(mod 4) 
更 重要 的 是 ,可 以 从 Legendre 符号 的 二 次 互 反 律 推 出 以 下 关于 Jacobi 符号 的 二 次 互 
反 律 。 设 m 和 nn 为 互 素 的 两 个 正 奇数 , 则 


(二 (*)= (一 J 车 " 嘻 
772 n 


因此 , 当 w<m 为 奇数 时 ,为 计算 ( 刀 ] ,只 需 计算 (从 ]。 作 带 余 除 法 


n 


mm m 


m=ng+r, 0<~r<=n 
则 ( 苦 }= (元 )。 设 一 2 ,其 中 为 奇数 , 则 
EG) 
于 是 问题 变 成 ( 旬 ] 的 计算 ,而 六 和 刀 是 分 别 小 于 nn 各 的 互 素 的 奇数 。 这 样 ,多 次 


“ 银 转 "运用 带 余 除法 和 二 次 互 反 律 ,就 可 以 计算 出 | 蕊 }, 而 不 涉及 整数 的 因子 分 解 。 


该 计算 方法 的 效率 至 少 不 低 于 欧 氏 算法 ,因为 余数 提出 2 的 方 究 后 会 变 得 更 小 。 
另外 ,因为 Jacobi 符号 的 平方 总 是 等 于 1, 因 此 还 可 以 将 余数 去 掉 它 的 平方 因子 , 即 
车 r= 二 wr , 则 


2. 模 p 开平 方 根 算 法 
当 ( 和 ]=1 时 ,z? 二 aCmod p) 有 解 , 求 这 个 方程 的 解 的 问题 称 为 求 模 pp 平方根 


问题 。 下 面 给 出 一 个 求 模 p 的 平方 根 算法 。 

首先 给 出 元 素 的 阶 的 概念 。 设 < 是 Z; 中 的 一 个 元 素 , 称 使 得 a' 二 1 的 最 小 正 整 
数 上 为 a 的 阶 。 可 以 证 明 2Z, 中 存在 阶 为 p 一 1 的 元 素 . 记 为 g. 称 其 为 模 p 的 一 个 原 
根 。Z; 中 的 任意 一 个 元 素 都 可 以 唯一 地 表示 成 g 的 方 究 , 即 存在 0 三 i 二 p 使 得 


i 因此 有 [和 】 (去) ,进而 [过 )= 1( 即 g 是 模 p 的 二 次 非 剩 余 )， 


并 有 (2)=1 当 且 仅 当 i 是 偶数 。 
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设 p 一 1 二 2% ,t 为 奇数 ,s 宇 1。 因 为 2 与 上 互 素 .所 以 存在 整数 wx,o 使 得 tu 十 2'v 二 1， 
进而 有 
g=g”"*g’"(modp), g'=0* g*" (mod p) 
其 中 4 二 g"。 因 为 tu 是 奇数 ,5 一 g* 是 模 p 的 二 次 非 剩余 , 即 (2)= (及 二 十 ， 
由 于 
b* =g*=l(modp), (g’"):= g* =1(mod p) 
并 且 对 & 二 2 和 j 二 t.0* 和 (g**)i 模 p 都 不 同 余 1, 因 此 bmod p) 和 g**(mod p) 的 
阶 分 别 为 2 和 +t。 令 e 寺 i(mod 2),c 三 g*™*(mod p), 则 
a 二 6b» c(mod p) (1. 14) 
此 处 。 是 偶数 ,因为 i 是 偶数 。 
给 定 a, 然 而 并 不 知道 i 和 e 的 具体 值 。 设 e 的 二 进 制 展 开 式 为 
e 一 2el 十 22es 十 … 十 2e，eiE (0:1)》 Cl L168 
下 面 的 算法 将 依次 决定 出 ej ,es ，,…,es-1， 即 求 出 e, 进 而 由 式 (1.14) 求 出 cCmod p)。 
注意 到 ,内 是 六 (mod p) 的 一 个 平方 根 ,而 cC(mod p) 的 一 个 平方 根 是 c 守 (mod p) ,这 
是 因为 
(c 尘 )* 三 cf 三 cCmod p) 
于 是 得 到 a 的 平方 根 十 后 c 守 (mod p)。 
求 e; 的 方法 如 下 。 因 为 
(2@1 十 22ez 十 … 十 271e m1)27?t 二 271e (mod 2:) 
对 式 (1.14) 两 边 都 进行 2"?t 次 方 得 到 


a = (4b )" (mod p) 


因为 娘 二 1(mod p) ,6 ' 模 p 不同 余 1, 故 有 4 三 一 1(mod p)。 这 样 得 到 
a := (~— 1)% (mod p) (1.16) 
通过 计算 a*“, 从 而 决定 出 ec 。 求 出 e 后 可 如 下 求 es 。 因 为 
a bi = 0 » clmod p) 


用 求 式 (1.16) 的 办 法 ,有 
(a ba) := (1)%(mod p) 
从 而 同样 地 决定 出 ez。 以 此 类 推 ,可 以 类 似 地 得 到 es 、es、…、e,-1。 
可 以 证 明 , 上 述 算法 中 的 5 可 以 换 成 模 p 的 任意 一 个 非 二 次 剩余 。 这 样 , 随 机 地 
选取 1 到 p 一 1 中 的 整数 .有 一 半 的 概率 可 以 作为 算法 所 需要 的 0。 


算法 1.3.1 求 模 jp 的 平方 根 
输入 : 素数 ,整数 a, (如) 一 1 


输出 : 整数 工 , 使 得 x? 寺 a(mod p) 
1. 选取 模 p 的 一 个 二 次 非 剩余 4。; 
2. 分 解 p 一 1 二 2% ,t 是 奇数 ,s 宇 1; 
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3。e< 0; 

4. 车 s 之 1, 则 对 i 一 1 一 s 一 1, 若 (a .0 二 一 1Cmod p), 则 令 ce 一 
2 

5. hab™ (mod p) ,ze+ he (mod p); 

6. 返回 工 。 


例 1.3.2 当 p==3C(mod 4) 时 ,s 一 1 2 ,可取 4 p 一 1, 则 a 模 p 的 平方 根 
是 zx 夺 土 a 个 (mod 轧 ) 。 


例 1.3.3 当 p 二 5(mod 8) 时 ,s 一 2,1 一 ,可取 4 一 2-!(mod 旋 );, 则 


(1) 当 a 所 二 一 1(mod p) 时 ,a 模 p 的 平方 根 是 x 二 土 2 a 从 (mod p); 
(2) 否则 ,a 模 p 的 平方 根 是 x 圭 土 a 舍 (mod p)。 


1.3.3 素数 检测 算法 


给 定 一 个 正 奇数 ,判断 它 是 否 为 素数 , 称 为 素数 检测 。 下 面 介绍 一 种 比较 常用 
的 概率 性 素数 检测 方法 。 这 种 方法 有 着 较 高 的 运算 效率 。 
当 是 素数 时 ,由 费 马 小 定理 ,对 于 (0,n) 区 间 的 任意 整数 4. 都 有 
a = 1(mod n) ,i 
因此 ,车 有 整数 a€E (0,n) 使 得 式 (1. 17) 不 成 立 , 则 一 定 不 是 素数 。 若 a 使 得 
式 (1.17) 成 立 , 则 不 能 判定 n 是 否 为 素数 ;但 如 果 能 证 明 有 这 样 一 个 性 质 :“ 当 nn 不 


是 素数 时 ,(0,n) 中 的 整数 使 得 式 (1.17) 成 立 的 a 的 比率 6 二 去", 则 可 以 通过 独立 地 


选取 上 个 不 同 的 a ,逐个 判别 式 (1.17) 是 否 成 立 。 车 有 一 个 a 使 得 式 (1.17) 不 成 立 ， 
则 已 经 判断 出 n 不 是 素数 ,算法 输出 检测 结果 并 终止 ;车 这 个 不 同 的 a 都 满足 
式 (1.17), 由 于 此 时 不 是 素数 的 概率 不 大 于 p*, 当 kk 较 大 时 p* 很 小 ,这 时 就 能 以 很 
大 的 正确 概率 1 一 pe* 判断 出 nn 是 素数 。 换 句 话说 ,“n 不 是 素数 却 被 误 判 为 是 素数 ”的 
概率 不 大 于 pr。 这 样 ,就 得 到 了 一 种 概率 性 的 素数 判定 方法 。 这 种 方法 是 “证 伪 ” 的 ， 
即 返 回 的 否定 性 结论 一 定 正确 。 


但 遗憾 的 是 ,不 存在 上 述 小 于 去 的 p。 有 一 类 非 素数 , 称 为 Carmichael 数 ,它们 


对 任意 整数 aE (0,n), 式 (1. 17) 都 不 成 立 。 例 如 ,561 二 3X11X17 就 是 一 个 
Carmichael 数 。 

下 面 讲述 的 Miller-Rabin 检测 方法 克服 了 上 述 缺 陷 。 继 续 考 虑 式 (1. 17) ,将 两 
边 开 平方 ,对 于 素数 ,由 于 1 模 n 的 平方 根 必然 是 士 1(mod n), 则 有 


a 二 1(modn) 或 a 二 一 1(modn) 


若 前 者 成 立 ,就 可 以 继续 开平 方 得 到 a 局 志士 1 (mod n)。 因 此 , 设 n 一 1 二 2%4,s 宇 1， 
t 是 奇数 , 若 是 素数 , 则 
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a aT ,a (1.18) 
中 第 一 个 模 不 同 余 1 的 必 同 余 一 1。 由 于 号 一 一 4, 式 (1 18) 中 的 数 从 右 向 左 依次 
是 a ,a* 的 平方 ,再 平方 ,……* 。 若 a! 模 nn 不同 余 1, 则 a! 圭一 1(mod n)。 


算法 1.3.2 Miller-Rabin 素数 检测 算法 
输入 : 正 奇 数 n,n 一 1 二 2 ,s 宇 1,t 为 奇数 ,检测 轮 数 尺 
输出 : 整数 “n 是 素数 ”或 “n 不 是 素数 ” 
1 重复 以 下 步骤 上 轮 ; 
1.1 独立 随机 地 选取 整数 wE (0,n); 
1.2 计算 5b 寺 a'(mod n); 
1.3 若 5 二 1 或 者 n 一 1, 结束 本 轮 进入 下 一 轮 , 和 否则 依次 计算 (mod 
nD) .0mod n)、….b*” (mod n) 著 这 些 数 出 现 n 一 1, 结 束 本 轮 进 
入 下 一 轮 , 否 则 输出 “n 不 是 素数 ”并 终止 算法 ; 
2 输出 “n 是 素数 ”。 


当 Miller-Rabin 素数 检测 算法 输出 “n 不 是 素数 ”时 ,算法 对 某 个 a 发现 式 (1.18) 中 
每 个 数 模 n 既 不 是 1 也 不 是 一 1, 由 上 述 分 析 知 ,n 一 定 不 是 素数 ( 即 该 算法 “证 伪 ”)。 
可 以 从 数学 上 严格 证 明 ,Miller-Rabin 素数 检测 算法 的 一 轮 测 试 将 非 素 数 判 别 


为 素数 的 误 判 概率 小 于 二 , 即 对 任意 非 素 数 的 奇数 1 区间 (0,m) 中 至 多 有 地 的 整数 a 


能 通过 “Miller-Rabin 素数 检测 算法 ”中 的 1. 3 步 的 测试 。 取 & 一 20. 则 Miller-Rabin 
素数 检测 算法 将 非 素数 ”判断 为 素数 的 概率 小 于 2 (小 于 一 万 亿 分 之 一 ) 。 


1.3.4 因子 分 解 算 法 


设 nn 是 需要 分 解 因 子 的 正 奇数 ,如 果 能 够 找到 两 个 整数 a 和 2 ,使 得 
a? 二 0b(mod n) Cl A 
则 nl Ca 十 丰 (a 一 65)。 当 nt(la 十 丰 或 na 一 丰 时 ,gcd(n.a 十 b) 或 gcd(n,a 一 b) 是 nn 的 真 
因子 ,从 而 将 分 解 成 两 个 小 一 些 的 整数 的 乘积 。 当 nla 土 5 时 , 即 < 反 士 2Cmod nn)， 
式 (1.19) 对 的 分 解 无 帮助 ,应 寻找 新 的 a 和 20。 

为 获得 满足 式 (1.19) 的 a 和 65, 选取 m 个 a;, 计 算 c; 夺 a? (mod nn), 将 其 中 某 些 
ci 相 乘 ,希望 得 到 一 个 平方 数 。 为 此 ,挑选 那些 能 完全 分 解 为 小 素 因 子 ( 可 重复 出 现 ) 
的 乘积 的 c;, 即 设 pi .ps,… ,pr 为 不 同 的 小 素数 ， 

a? = pr piper (mod n) C20 

若干 个 式 (1. 20) 的 右边 相 乘 为 平方 数 等 价 于 若干 个 指数 向 量 Cea ,ew ，,… ,en) 的 
和 向 量 的 每 个 分 量 都 是 偶数 。 显 然 , 这 是 考虑 相应 分 量 之 和 模 2 为 0 的 问题 。 因 此 ， 
只 需 将 ej 模 2 变 成 0 或 1( 仍 然 记 为 ej) ,然后 求解 0 一 1 向 量 Cx ,xs,… ,x。) ,使 得 

Xieilyeizy 9C12) 二 Xz (C21 5E22 29°*" 599254) 十 "十 Xm (Em osEm2 39°" Emi) 一 0 


即 
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eu es21 em 1 人 fx 0 
El12 €22 Em2 Xz 0 

一 | 。 1, 2 
Elk ez2k ”Emk Xm 0 


因此 ,以 上 因子 分 解 方法 可 以 分 成 两 个 步骤 
(1) 收集 足够 多 的 形 如 式 (1. 20) 的 关系 式 ; 
(2) 对 收集 的 指数 向 量 ,求解 0 一 1 向 量 Cx ,xz ,…,xw) 满 足 线性 方程 组 (1. 21) 。 
对 于 很 大 的 整数 ,实际 需要 的 & 和 wm 可 能 很 大 ,这 样 不 仅 需要 收集 很 多 的 关系 
式 , 而 且 还 面临 着 一 个 大 规模 线性 方程 组 的 求解 问题 。 


1. 连 分 式 因 子 分 解法 
连 分 式 因子 分 解 方法 利用 了 Yn 的 连 分 式 展开 式 的 各 个 渐 近 分 数字 一 定 满足 以 


下 形式 的 方程 
gt =(— DQ(modn) 0 一 Qi 一 2 

由 于 Q, 相对 n 较 小 , 它 的 素 因 子 分解 有 可 能 落 入 预先 选 定 的 上 个 素数 pi， 
pz， spr 之 内 (可 以 依次 用 pi;ps，…,pr: 这 上 个 素数 去 除 Q; 判断 是 否 如 此 )。 
(一 1) 一 的 指数 ;一 1 也 可 以 当 作 一 个 向 量 分 量 来 处 理 。 

关于 连 分 式 因 子 分 解 方 法 的 详细 论述 参见 文献 [6j]。 

2. 二 次 得 法 

设 [Vn 上 康 示 不 大 于 Vn 的 最 大 整数 , 取 小 整数 工 : 令 

f(z) 一 (z+I/n )’—n 

则 0 三 f(x) 二 2Vnz 十 xz?。 当 zz 过 n+ 时 ,f(z) 近 似 等 于 2Vnz, 它 的 素 因 子 可 能 落 入 
Pi:ps，… pr 之 内 。 

显然 ,可 以 使 用 其 他 方式 定义 的 二 次 多 项 式 代替 f(x)。 

关于 二 次 得 法 的 详细 论述 参见 文献 L6] 。 


1.4 应 用 举例 


1.4.1 RSA 密码 算法 


在 RSA 密码 算法 中 ,一 个 用 户 选 取 两 个 不 同 的 大 素数 p 和 g, 令 nn 二 pg; 则 nn 的 
欧 拉 函数 g(n) 二 (p 一 1)(g 一 1)。 用 户 选 取 与 g(n) 互 素 的 整数 0 二 e 二 gl(n), 利 用 欧 
氏 算法 ,计算 出 一 个 整数 4, 满 足 
ed = 1(mod p(n)) (1. 22) 
用 户 将 nn 和。 作为 公开 密 钥 ( 公 钥 ) 向 外 发 布 .d 作为 秘密 密 钥 ( 私 钥 ) 秘 密 保存 。 
显然 ,如 果 p 和 g 被 泄露 , 则 知道 p 和 da 的 任何 人 都 知道 了 p(z) ,从 而 可 以 计算 
出 dq。 因 此 p 和 g 也 必须 保密 。 
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RSA 加 密 过 程 : 将 要 加 密 的 明文 消息 编码 成 整数 ,0 二 mm 一 n。 密 文 c 定义 为 


c=m(modn), 0<~ec<=n (1.23) 
RSA 解密 过 程 : 公 、 私 钥 对 (e.d) 的 拥有 者 计算 
m’ 一 c<Cmod n) (1.24) 
解密 的 正确 性 : 由 式 (1. 23) 和 式 (1. 24) 有 
m’ = m” (mod n) 
由 式 (1. 22) ,存在 整数 使 得 ed 二 1 十 kp(n)。 由 欧 拉 定理 有 
m* =me: (mm 1m(modn) 


所 以 
m’ Sm(mod n) 
由 于 mr 和 wm 都 是 落 在 区 间 (0,n) 的 整数 ,因此 mm' 二 mm。 
可 以 应 用 中 国 剩 余 定理 来 加 速 RSA 的 解密 计算 。RSA 解密 方 知道 4、p 和 


令 


gg， 
di 三 d(mod fC—1),s 0di<p—!1 
ds =d(modg—1), 0<~<d:<g—l 
对 收 到 的 密 文 c, 令 
ad 三 c(mod p), 0<=a<=p 
02 三 c(modg), 0=6ec =g 
再 令 


m 三 m(mod p), 0 一 2 一 户 
《1. 25) 
mz 三 m(mod g), 0=m;:=g 
由 于 mw 三 c? (mod n) ,对 此 式 两 边 模 p, 青 根据 费 马 小 定理 有 
mi = ct = ch (mod p) 
同 理 可 以 得 到 
mz = cg (mod g) 
计算 出 wm 和 zs 后 ,利用 中 国 剩余 定理 ( 见 1. 2. 1 小 节 ), 由 式 (1.25) 即 可 以 计算 
me 
这 种 计算 方法 的 优势 是 做 计算 量 大 的 模 指数 运算 时 ,使 用 的 模 数 p 和 g 比 直接 
计算 时 的 模 数 n 要 小 。 另 外 , 模 指 数 运算 的 指数 也 变 小 了 。 相 比 这 个 优势 ,额外 增加 
的 中 国 剩余 定理 的 计算 量 显 得 微不足道 。 


1.4.2 Rabin 密码 算法 


Rabin 密码 算法 与 RSA 密码 算法 采用 同样 的 模 数 。 一 个 用 户 拥 有 两 个 不 同 的 
素数 p、g 作为 私 钥 ,将 它们 的 乘积 "一 pg 作为 公 钥 公开 。 在 Rabin 密码 算法 中 ,加 
密 不 再 是 模 n 的 高 次 备 , 而 仅仅 是 模 平方 运算 , 即 消息 (编码 为 满足 0 二 mr 一 n 的 整 
数 x ) 对 应 的 密 文 是 

cm’(mod n) (1.26) 

解密 者 由 于 拥有 素数 p、g, 他 设法 先 求 出 mi 三 m(mod p) 和 ms 三 m(mod g), 青 
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利用 中 国 剩余 定 理 求解 。 设 c1 寺 cl(mod p) 和 cs 圭 c(mod g), 由 式 (1. 26) ,有 
a = mi (mod p) | 
cz SE mi (mod g) 《1.28) 
利用 算法 1. 3. 1 中 的 模 素数 开平 方 算 法 ,可 求 得 式 (1. 27) 的 两 个 解 ( 它 们 互 为 模 p 相 
反 数 ) 和 式 (1.28) 的 两 个 解 (它们 互 为 模 g 相反 数 )。 这 样 共有 4 组 解 ( 士 ma (mod p)， 
十 ma (mod gq))。 按 照 中 国 剩 余 定理 ,每 一 组 解 可 导出 一 个 m(mod n)。 因 此 ,解密 结果 
有 4 个 ,不 唯一 。 克 服 这 个 缺点 的 一 个 方法 是 ,在 实际 应 用 中 ,在 加 密 时 先 对 明文 进行 
完 余 信息 添加 (如 在 明文 后 面 复制 原始 明文 消息 的 后 若干 个 比特 ) 。 这 样 ,一 个 合法 密 
文 的 4 个 模 平 方 根 很 可 能 只 有 一 个 具有 这 种 元 余 性 质 , 解 密 者 就 接受 这 个 根 为 明文 。 
在 弱 的 安全 意义 下 (只 考虑 被 动 攻击 敌手 ) ,Rabin 密码 算法 的 安全 性 可 证 明 与 
因子 分 解 问 题 等 价 。 而 RSA 密码 算法 尚 不 能 证 明 这 一 点 。 


1.5 注 记 


初等 数论 是 很 多 抽象 代数 概念 如 群 、 环 、 域 . 模 的 源泉 ,也 是 通信 ,信息 安全 等 领 
域 中 广泛 应 用 的 工具 。 本 章 简 要 介绍 了 初等 数论 中 的 基本 概念 、 基 本 原理 和 一 些 数 
论 算法 ,更 多 的 内 容 请 参看 本 章 的 参考 文献 。 其 中 文献 L1] 一 [4] 是 关于 初等 数论 的 
中 文 版 大 学 和 研究 生 教材 ,文献 [5j 是 英文 版 研究 生 教材 。 有 关 数 论 算 法 ,请 参阅 文 
献 [L4]`L6]、L7] ,文献 L6]、L7] 是 两 本 极 好 的 教科 书 。 数 论 中 有 很 多 悬而未决 的 问题 ， 
请 参阅 文献 L[8]`[L9] ,其 中 文献 L9] 专 门 论 述 素数 问题 ;有 些 问 题 就 是 针对 信息 安全 需 
求 提 出 来 的 。 

关于 素数 检测 ,本 章 只 给 出 了 一 种 概率 性 素数 检测 方法 ,虽然 效率 高 ,但 概率 性 素 
数 检测 方法 的 缺陷 是 , 当 它 判别 一 个 奇数 为 素数 时 , 它 不 能 断定 该 数 百分之百 的 是 素 
数 。 为 弥补 这 个 没有 “完全 证 实 ” 的 缺陷 .确定 性 素数 检测 (也 叫 确定 性 素性 测试 或 素性 
证 明 ) 能 够 明确 地 、 准 确 无 误 地 说 明 一 个 整数 是 否 为 素数 。 目 前 有 3 种 方法 可 以 实现 确 
定性 素性 判定 ,分 别 是 Jacobi 和 素性 证 明 、 椭 圆 曲 线 素性 证 明和 AKS 素性 判定 。 


1. Jacobi 和 素性 证 明 

作为 确定 性 素性 判定 方法 之 一 :Jacobi 和 素性 证 明 判 定 整数 ”为 素数 的 时 间 复 杂 
度 是 OCClnz)epm ) ,其 中 cc 是 某 一 常数 。 特 别 地 , 当 2 一 222 时 ,lnlnlnz< 一 1.78, 因 此 接近 
于 一 个 多 项 式 时 间 算 法 。 对 几 百 位 十 进 制 大 的 整数 ,使 用 Jacobi 和 素性 证 明 判 定 法 及 
现 有 的 普通 计算 机 能 够 在 数 分 钟 内 完成 计算 。 因 而 ,Jacobi 和 素性 证 明 是 实用 的 。 

Jacobi 和 素性 证 明 在 实际 应 用 时 是 一 个 随机 算法 .对 于 每 个 k 三 1. 算 法 至 少 以 
1 一 2“ 的 概率 在 OC(k(nn) "mw ) 步 内 终止 。 当 算法 终止 时 ,算法 总 能 给 出 一 个 整数 
是 否 为 素数 的 正确 结果 。 

Jacobi 和 素性 证 明 的 缺点 是 不 能 提供 一 个 可 以 在 比 算法 运行 短 很 多 的 时 间 内 验 
证 运算 结果 正确 性 的 数据 (“素性 证 书 ”)。 男 一 个 缺点 是 Jacobi 和 素性 证 明 不 像 
Miller-Rabin 概率 性 素数 测试 那样 容易 编程 , 它 的 计算 机 编程 很 复杂 ,返回 结果 的 代 
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码 也 不 简洁 。 

2. 顶 圆 曲线 素性 证 明 

椭圆 曲线 素性 证 明 是 另 一 种 确定 性 素性 判定 方法 :通常 也 称 为 Atkin 测试 。 对 
任何 二 0, 在 启发 式 假设 下 ,该 算法 的 平均 运行 时 间 是 O((lnn)**) 比特 操作 。 
Atkin 测试 现在 能 够 证 明 超 过 1000 位 的 十 进 制 长 的 奇数 是 否 为 素数 。 

Atkin 测试 胜 过 Jacobi 和 素性 证 明 的 一 个 优点 是 ,Atkin 测试 能 够 产生 一 个 简 
短 的 素性 证 书 ,并且 利 用 素性 证 书 能 够 有 效 地 验证 整数 的 素性 。 但 Jacobi 和 素性 证 
明 与 Atkin 测试 的 算法 细节 都 相当 复杂 。 


3. AKS 素性 判定 

AKS 素性 判定 是 2002 年 Agrawal、Kayal 和 Saxena 发 现 的 一 种 素性 判定 方法 。 
AKS 素性 判定 的 算法 原理 比较 简单 ,并 且 是 一 个 完全 多 项 式 时 间 的 确定 性 素性 判定 
方法 。 

关于 因子 分 解 , 除 了 正文 中 提 到 的 方法 外 ,比较 有 名 的 还 有 数 域 得 法 和 椭 圆 曲 线 
因子 分 解 方法 。 

数 域 得 法 是 目前 最 有 效 的 大 数 因 子 分 解 算 法 。 其 思想 与 二 次 筛 法 相同 ,但 不 是 
使 用 整数 的 同 余 关系 式 ,而 是 使 用 代数 数 域 中 的 代数 整数 的 同 余 式 。 

椭圆 曲线 因子 分 解 是 一 种 与 上 述 方 法 原理 不 同 的 因子 分 解法 。 它 能 够 用 来 发 现 
大 整数 的 较 小 的 素 因 子 。 使 用 椭圆 曲线 因子 分 解法 找 出 整数 的 素 因 子 p 的 平均 
运行 时 间 是 DCexp[(2!2: 十 o(1))(lnp)!2z (lnlnp)22]) 。 

椭圆 曲线 因子 分 解 方 法 的 运行 时 间 依 赖 于 整数 n 的 最 大 素 因 子 的 规模 , 它 是 一 
种 特殊 目的 的 因子 分 解 方法 ,倾向 性 地 被 用 于 分 解 出 整数 的 小 素 因 子 。 目 前 它 能 够 
找到 大 整数 的 40 位 十 进 制 以 内 的 素 因 子 。 

找到 整数 的 小 素 因 子 后 ,利用 其 他 因子 分 解 方法 能 够 继续 寻找 整数 的 其 他 素 因 子 。 
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第 2 章 代数 方法 与 技术 


代数 学 的 主要 研究 对 象 是 各 种 各 样 的 代数 结构 , 即 具有 一 些 代数 运算 的 集合 。 
代数 学 在 信息 安全 中 有 着 广泛 的 应 用 。 本 章 主 要 介绍 代数 学 中 的 一 些 方法 和 技术 。 
2.1 节 至 2.5 节 介 绍 了 群 \ 环 、 域 . 模 和 格 的 一 些 基 本 概念 和 基本 知识 ,2.6 节 介 绍 了 
有 限 域 和 Galois 环 ,而 在 2.7 节 介绍 了 代数 学 中 的 一 些 典 型 算法 ,以 及 代数 学 在 密 
码 学 中 的 一 些 应 用 。 


2.1 和 群 


群 是 代数 学 中 的 基本 概念 , 它 是 一 种 只 含有 单个 运算 的 代数 结构 , 它 的 运算 法 则 
与 数 的 运算 法 则 类 似 , 在 自然 科学 的 许多 领域 都 有 着 广泛 的 应 用 。 在 这 一 节 , 主 要 介 
绍 群 的 一 些 基 本 概念 和 基本 性 质 。 


2.1.1 定义 及 基本 性 质 


设 S 是 一 非 空 集合 ,我 们 把 SXSS 的 一 个 映射 " 称 为 S 上 的 (二 元 ) 运 算 。 对 
于 S 上 的 一 个 二 元 运算 。, 为 了 方便 起 见 , 也 把 a,b5ES 的 像 。-(a.5) 记 做 ae6, 或 者 
省 略 。, 只 简单 地 写 做 abp。 二 元 运算 是 我 们 非常 熟悉 的 一 类 运算 .比如 说 整数 的 加 法 
和 乘法 运算 就 是 定义 在 整数 集合 上 的 二 元 运算 。 这 节 讨 论 只 有 一 种 代数 运算 的 代数 
结构 ,这 种 代数 结构 称 为 群 ,请 看 下 面 的 定义 。 

定义 2.1.1 我 们 说 一 个 非 空 集合 G 对 于 G 上 的 一 个 二 元 运算 。 来 说 作成 一 个 
群 ,如 果 满 足 : 

1)。 是 结合 的 , 即 对 任何 a.6,cE€EG,as (bec) 二 (aob)ec。 

2) G 中 存在 一 个 元 素 e 满足 : YeEG,ase 一 ca 一 4a。 这 个 元 素 称 为 G 中 的 单位 
元 。 有 时 也 把 单位 元 e 写成 lc 或 1。 

3) 对 Va EG, 存 在 一 个 元 素 a-!EG 满足 a°a ! 二 a !°a 二 e, 这 个 元 素 称 为 a 的 
逆 元 。 
4) 进一步 ,如 果 G 中 的 元 素 还 满足 Va,b5EG,a°b 一 6°a, 则 G 称 为 交换 群 或 
Abel 群 。 这 时 也 把 * 表 示 成 十 ,同时 把 单位 元 e 写成 0。 因 此 ,交换 群 也 称 为 加 法 群 。 

实际 上 .和 群 对 我 们 来 说 并 不 陌生 .请 看 下 面 的 例子 。 

例 2.1.1 所 有 整数 的 集合 Z 在 加 法 运算 下 构成 一 个 交换 群 (Z, 十 )。 在 这 个 群 
中 ,二 元 运算 就 是 通常 的 加 法 运算 ,单位 元 是 0, 这 是 因为 0 加 任何 数 都 还 等 于 原来 
的 数 。 而 一 个 整数 a 的 道 元 是 一 a。 又 因为 整数 的 加 法 满足 交换 律 , 即 对 任意 的 整数 
a 和 5, 都 有 a 十 6 二 5b 十 a, 因 此 (2Z, 十 ) 是 一 个 交换 群 。 

例 2.1.2 只 含有 一 个 元 素 e 的 集合 在 运算 ee 二 =e 下 构成 一 个 群 。 在 这 个 群 
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中 ,单位 元 就 是 e, 而 e 的 道 元 还 是 e。 

例 2.1.3 令 G 一 (0,1,2,…,5}, 则 G 在 运算 “ae6b 一 a 十 b 除 6 后 的 余数 ”下 构成 
一 个 群 。 在 这 个 群 中 ,单位 元 是 0,1 和 5 互 为 逆 元 ,2 和 4 互 为 逆 元 ,3 的 逆 元 是 其 
本 身 。 

例 2.1.4 元 素 在 数 域 K 中 的 全 体 n 阶 可 道 和 矩阵 对 于 和 矩阵 的 乘法 构成 一 个 群 ， 
这 个 群 记 为 GL, (K), 称 为 n 级 一 般 线 性 群 ;GL, (K) 中 全 体 行列 式 为 1 的 矩阵 对 于 


矩阵 乘法 也 构成 一 个 群 ,这 个 群 记 为 SL, (K), 称 为 特殊 线性 群 。 显 然 , 一 般 线性 群 
和 特殊 线性 群 都 不 是 交换 群 。 


例 2.1.5 集合 {1,2,…,n} 上 的 所 有 和 置换 在 置换 的 复合 运算 下 构成 一 个 非 交 换 
群 ,这 个 群 称 为 对 称 群 。 

从 上 面 群 的 例子 可 以 看 出 ,一 个 群 既 可 只 含有 有 限 个 元 素 , 也 可 含有 无 限 个 元 
素 。 请 看 下 面 的 定义 。 

定义 2.1.2 一 个 群 G 称 为 有 限 群 (无 限 群 ) ,如 果 G 中 含有 有 限 多 个 元 素 ( 无 限 
多 个 元 素 ) 。 群 中 元 素 的 个 数 称 为 G 的 阶 ,用 |1G| 表 示 。 若 G 为 无 限 群 , 记 1G| 王 =。 

容易 证 明 在 一 个 群 中 ,单位 元 和 元 素 的 逆 元 是 唯一 的 ,而 且 对 Va,bEG,(ab) :一 
4b-1o4a7! ,我 们 约定 : 


a 一 e 

a" 一 "aa。 扩 …。a 或 na 一 a 十 a 二 … 二 a 
Ca 个 ) Fy 

a™” = (a)”" 


显然 有 : a"a” 二 a™t",(a")”=a”™ 。 

定义 2.1.3 设 G 是 群 ,a 是 G 中 的 一 个 元 素 。 如 果 存 在 正 整 数 ,使 得 a” 二 1， 
则 称 a 是 有 限 阶 的 元 素 , 而 把 满足 a"= 二 1 的 最 小 的 正 整 数 m 叫做 元 素 a 的 阶 ,用 
ol(a) 或 al 表示 。 否 则 称 a 是 无 限 阶 的 元 素 。 

定理 2.1.1 设 a 是 群 G 中 的 一 个 有 限 阶 元 素 ,o(a) 二 mr, 则 对 任意 的 正 整 数 "， 
a 二 1 当 且 仅 当 m1|n。 

证 明 : 充分 性 : 假设 mln, 则 存在 t+ 使 n= 二 mrt, 所 以 a" 二 =a” 二 (a”*)' 二 1 二 1。 

必要 性 : 假设 a 二 1.n 二 qm 十 r, 其 中 g 和 都 是 非 负 整数 ,0 三 r 二 mz。 那 么 

YL 基本 dg Ca Ir Le a 

但 由 于 0 三 r 二 m ,根据 元 素 阶 的 定义 ,m 是 使 "一 1 成 立 的 最 小 正 整数 ,因此 ~ 一 0， 
所 以 n= 二 gm.: 即 mm|n。 

定理 2.1.2 设 a 是 群 G 中 的 一 个 有 限 阶 元 素 ,o(a) 二 mm。 则 对 任意 的 正 整数 


kyar* 的 阶 为 二 ,其 中 (Am 表示 & 和 zz 的 最 大 公 因 子 。 


m 天 
dd 


证 明 : 假设 d= 二 (k,m) .ola*) I( ) 1,a” 二 (at*)"* 二 1。 根 据 定理 2.1.1， 
可 1 所 以 学 [入 ， ,从 而 学 lm。 但 显然 (oo93 一 1 再 次 根据 定理 2.1.1 知 x| 学 。 


因此 ,2 一 他 。 
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定义 2.1.4 一 个 群 G 称 为 循环 群 ,如 果 存 在 一 个 元 素 a€EG 使 得 G 一 (a);。 这 
样 的 元 素 a 称 为 G 的 生成 元 。 

显然 ,任何 的 循环 群 都 是 交换 群 。 例 2. 1. 1 是 一 个 循环 群 , 生 成 元 为 1。2, 也 是 
一 个 循环 群 , 且 2Z, 二 [1J), 而 且 对 任何 一 个 与 互 素 的 整数 1:,[t] 都 是 Z 的 生 
成 元 。 

定理 2.1.3 任意 循环 群 的 子 群 仍 是 循环 群 。 

证 明 : 设 G==(a) 是 一 循环 群 ,有 H 是 G 的 一 个 子 群 。 不 妨 设 及 隆 {1}。 因 为 a"€ 
Ha"E 及 ,所 以 a 的 某 一 正 次 寡 一 定 在 互 中 。 设 & 是 使 得 a EH 的 最 小 正 整数 ， 
即 4d 王 min{(zEZlz 二 0 且 a"EH}。 下 面 证 昌 = (as)。 任 给 hE 日 ,存在 sEZ 使 
hh 二 a’, 写 ;二 qd 十 r,0 三 rr 二 d, 则 有 a 二 a”，a”"E 昌 ,从 而 a"E 晶 。 根据 4 的 选取 ,可 
知 r=0, 所 以 H= 《as). 

定理 2.1.4 设 G=(a) 是 一 有 限 阶 的 循环 群 , 阶 为 mm。 那么 

1) 如 果 d 是 mm 的 一 个 因子 , 则 G 包含 且 只 包含 一 个 指数 为 d 的 子 群 。 而 且 对 
mn 的 任 一 因子 f,G 正好 包含 一 个 阶 为 了 的 子 群 。 

2) 设 1 是 m 的 因子 , 则 G 中 有 $$ (让 个 阶 为 了 的 元 素 。 其 中 8(f1) 是 Euler 也 
数 , 即 小 于 / 且 与 f 互 素 的 正 整 数 的 个 数 。 

3) G 正 好 有 Y%(z) 个 生成 元 , 且 每 一 生成 元 都 具有 形式 a, 其 中 (yr,m) 二 1。 

证 明 : 

1) 假设 & 已 给 定 , 则 根据 定理 2. 1. 2,《a*) 是 阶 为 学 的 子 群 ,因此 指数 为 d。 假 


设 ( 必 是 另 一 个 指数 为 d 的 子 群 , 则 根据 定理 2. 1.2,|《a*》| = 但 另 一 方面 ， 


| 《asy | 二 所 以 d= 二 Cm,k) ,因此 有 di|lk,a*E lad),《a*)Clas)。 但 由 于 (a*》 


和 Ca) 有 相同 的 阶 , 所 以 《a*) 二 (as)。 

注意 到 ,对 m 的 任 一 因子 /, 阶 为 了 的 子 群 正好 (一 定 ) 是 指数 为 学 的 子 群 ,容易 
证 明 G 正好 包含 一 个 阶 为 了 的 子 群 。 

2) 设 at 是 G 中 的 一 个 元 素 , 则 at 的 阶 是 夺 Ey。 所 以 at 的 阶 是 f 舍 m 一 /， 


mm 


(km) Sk,m) pa 令 & 一 几 。 大 , 则 (sm 一 下 全 (人力 一 1。 而 的 个 数 正好 


是 $8(7)。 
3) 因为 G 的 生成 元 一 定 是 阶 为 m 的 元 素 , 根 据 2), 所 以 G 的 生成 元 的 个 数 为 
$Gn)。 设 a "EG 是 G 的 一 个 生成 元 , 则 o(Car) 一 7 人 mO(r,.m)=1., 


(rn) 
2.1.2 正规 子 群 与 商 群 


定义 2.1.5( 等 价 关系 ) RCSXS 称 为 等 价 关系 ,如 果 : 
1) (s,s)ER( 自 反 性 ); 
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2) (5,1) ER 二 (1,s) ER (对 称 性 ); 

3) (5,1),(1,u) ER 过 >(s,u) ER 传递 性 ); 

(s,t)ER 有 时 也 写成 sRt。 

定义 2.1.6 假设 n 是 一 个 正 整数 。 对 任何 整数 a、5, 如 果 n|l (a 一 候 , 则 称 a 和 
b 模 nn( 或 mod nn) 同 余 , 记 做 4 夺 b5 mod n。n 称 为 这 个 同 余 式 的 模 。 

显然 模 n 的 同 余 关 系 是 整数 集合 Z 上 的 一 个 等 价 关 系 ,并 将 ZZ 分 成 了 nn 个 互 不 
相交 的 等 价 类 [0],[1],[2],…:,[2 一 1 ,每 个 等 价 类 都 称 为 模 7 的 剩余 类 。 

例 2.1.6 {C50j,[1j,[2j,…,[n 一 1]) 在 运算 [aj 十 [6j 二 [a 十 5J 下 构成 一 个 加 
法 群 , 称 为 模 的 剩余 类 群 , 记 做 2Z,。 

定义 2.1.7 群 G 的 一 个 子 集 五 称 为 一 个 子 群 ,如 果 在 G 的 运算 下 , 互 构成 一 
个 群 。 

定理 2.1.5 设 G 是 群 ,对 任何 的 a€EG, 定 义 (a)= 二 {ai|li€EZ}, 则 (a) 是 G 的 子 
群 。 且 如 果 (a) 是 有 限 群 , 则 (Ca) 的 阶 恰 好 等 于 a 的 阶 。 

定理 2.1.6 如 果 玉 是 群 G 的 一 个 子 群 , 则 G 上 的 关系 Ra: (a,0) E€ Rn 今 a 二 bh 
(对 某 个 h€ 五 ) 是 一 个 等 价 关系 。 

证 明 : 要 证 Rn 是 个 等 价 关系 ,只 要 验证 它 满足 定义 2.1.5 中 的 3 条 性 质 即 可 。 

1) (a,a)E Ran, 因为 单位 元 1 EH。 

2) (a,b)ERHpa=bh ,hE H0=ah =>(b,a)E RH。 

3) (a,b)ERH (bc) E Rpa=bhi ,b=chs >a=chshi=c(hshi)> ac)E RE。 

上 述 关系 称 为 模 五 的 左 同 余 , 同 样 有 模 互 的 右 同 余 关系 ,等 价 类 aH 或 Hb 称 
为 五 在 G 中 的 左 陪 集 (left coset) 或 右 障 集 (right coset) 。 若 a 电 二 Ha, 则 称 a 为 
于 在 G 中 的 陪 集 。 

例 2.1.7 G=Ziz, 昌 =={[0j,[3j,[6j,[9j), 则 的 陪 集 有 : 


[o] 十 互 王 {[o],[3],[6],[9]} 
[1 十 互 一 人 [1],[4],[7],[10]》 
[2 十 互 一 人 [2],[5],[8],[11]》 


定理 2.1.7 如 果 玉 是 G 的 一 个 有 限 子 群 , 则 厂 每 一 个 ( 左 或 右 ) 陪 集 都 和 全 
有 同样 多 的 元 素 。 

定义 2.1.8 如 果 群 G 的 子 群 吾 只 构造 出 有 限 多 个 模 互 的 陪 集 , 则 这 个 陪 集 
的 个 数 称 为 互 在 G 中 的 指数 。 

定理 2.1.8(Lagrange) 一 个 有 限 群 G 的 阶 正 好 等 于 任何 一 个 子 群 及 的 阶乘 以 
五 在 G 中 的 指数 。 特 别 地 ,五 的 阶 整除 群 G 的 阶 , 任 一 元 素 的 阶 整除 G 的 阶 。 

证 明 : 由 于 G 是 有 限 的 :所 以 互 的 陪 集 的 个 数 ) 也 是 有 限 的 。 由 于 每 一 个 陪 集 
都 和 瑟 含 有 相同 个 数 的 元 素 , 且 两 个 不 同 的 陪 集 互 不 相交 ,所 以 1G| 二 1H1j。 

例 2.1.8( 欧 拉 (Euler) 定 理 ) 设 n 是 一 正 整 数 ,考察 由 模 的 等 价 类 构成 的 集 
合 G 三 {[aj|l(a.n) 二 1), 则 G 在 模 n 的 乘法 运算 下 构成 一 有 限 群 , 阶 为 |G| 二 $4(n)。 
对 任 给 a€EZ, 若 (a.n) 二 1, 则 [aj]EG,; 所 以 [aj 的 阶 是 1G| 的 因子 ,因此 [aj*” 二 1, 也 
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就 是 as 中 ?二 1 (mod n)。 

在 上 述 例子 中 ,如果 取 ?为 某 个 素数 户 , 则 得 到 费 尔 马 (Fermat) 定 理 : 设 p 是 一 
素数 , 则 对 任意 < 天 0,az :=1Cmod p)。 

定义 2.1.9 和 群 G 的 一 个 子 群 瑟 称 为 正规 子 群 ,如 果 对 任何 a€EG,h€ 了 肪 ,有 
aha"!E 昌 。 如 果 及 是 G 的 正规 子 群 , 则 记 成 H4G。 

显然 ,交换 群 的 任 一 子 群 都 是 正规 子 群 。 

定理 2.1.9 设 玉 是 群 G 的 子 群 , 则 下 列 条 件 彼 此 等 价 : 

5 

2) 对 于 每 个 gE€EG,gHg ' 二 H; 

3) 五 的 每 个 左 陪 集 都 是 右 陪 集 。 事 实 上 ,对 于 每 个 gE€G,gH 二 Hg。 

证 明 : 1) 全 2): 假设 互 是 G 的 正规 子 群 ,g 是 任 一 给 定 的 G 中 的 元 素 。 根 据 正 
规 子 群 的 定义 , 易 知 gHg “'!'C 有 。 另 外 , VhE 玉 ,因为 g 'EG, 所 以 根据 正规 子 群 的 
定义 ,也 有 (gh(g-1)-!1€E 及 ,所 以 存在 hE 使 (g-'1)h(g-1)- 1 二 h', 因 此 有 二 
SN ,DCgHe-:。 从 而 五 Cg 一 :. 

2) 一 3): 当 gHg !' 二 HH 时 ,g 卫 二 Hg 是 显然 的 。 

3) 一 1): 假设 互 的 每 个 左 陪 集 都 是 右 陪 集 , 则 对 任何 的 g, 存 在 g 使 得 gH = 
Hg ’。 由 于 1E 态 ,因此 有 h EH 满足 g 二 g* 1 二 hg ,从 而 Hg 二 Hg 一 5 五 ,所 以 对 
任何 hE 五, 存在 hE 使 得 gh 二 jg, 所 以 ghg-! 二 hE。 从 而 里 是 一 个 正规 
子 群 。 

定理 2.1.10 如 果 群 G 的 子 群 五 是 正规 的 , 则 模 五 的 陪 集 的 集合 在 运算 
(aH)。，(bH)==(ab)H 下 构成 一 个 群 。 

证 明 : 关键 是 证 明 上 述 定义 的 运算 是 良 定义 的 。 即 如 果 wa EaH,mh E65H, 则 
QBi 昌 ==(ab) 理 。 由 理 正 规 可 知 ai 二 ha 二 bh ,所 以 ab 二 h(abD)h’ = 二 (ab)hh'( 因 
为 H 是 正规 的 ) ,其 中 及 ,h’ ,hE 有 HH。 所 以 ,aib1H==abH。 

定义 2.1.10 设 玉 是 G 的 正规 子 群 ,定理 2.1.10 中 由 五 的 陪 集 定 义 的 群 称 为 
G 关 于 五 的 商 群 , 记 做 G/H。 

定理 2.1.11 如 果 G 是 有 限 群 , 则 IG/H|=IGI/|1H|。 

证 明 : 由 定理 2.1.8 立 得 。 

定义 2.1.11 设 S 是 群 G 的 非 空子 集 ,S 在 G 中 的 正规 化 子 定义 为 N(CS) 一 
{aeEGlasa- 一 S) 。 

定理 2.1.12 对 G 的 任 一 非 空 子 集 S,NCS) 是 G 的 子 群 且 N (S) 的 左 陪 集 和 
S 的 不 同 的 共 斩 acSe :之 间 存 在 一 一 对 应 关系 。 

证 明 : 显然 ,G 的 单位 元 1 EN(S)。 设 a,bEN(S), 容 易 推出 a ! 和 ab 也 属于 
N(S), 所 以 N(S) 是 子 群 。 下 面 证 定理 的 第 二 部 分 : 考虑 aSa !' 二 6bSb 后 S 一 
aT1ibSb 1la 一 (a-16)S(a 10) "1a 1bE N(S) 信 bEaN(S)。 这 就 是 说 ,S 的 两 个 共 
示 相同 当 且 仅 当 这 两 个 共 思 是 由 NCS) 的 同一 个 陪 集中 的 元 素 定 义 的 。 这 样 <cSa :> 
aN(S) 就 是 一 一 对 应 的 。 

定义 2.1.12 对 任何 的 群 G,G 的 中 心 (center) 定 义 为 集合 C 一 {cE€EClac 一 ca， 
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VaEG}。 显 然 C 是 G 的 正规 子 群 , 且 G 是 交换 的 当 且 仅 当 C= 二 G。 
定理 2.1.13 设 G 是 一 个 有 限 群 ,其 中 心 为 C, 则 |1G1=1C | 十 Dn. 其 中 


=1 


ni 宇 2 且 ni|1G|。 事 实 上 ,nn ,ns,… ,ns 是 G 中 含有 两 个 和 两 个 以 上 元 素 的 不 同 的 共 
力 类 中 元 素 的 个 数 。 

证 明 : 注意 到 G 中 元 素 之 间 的 共 轿 关系 是 一 个 等 价 关 系 。 所 以 可 以 把 G 分 成 
一 些 不 相交 的 共 轿 类 的 并 ,因此 |1G| 等 于 这 些 不 同 的 共 轿 类 中 元 素 个 数 之 和 。 只 含 
有 一 个 元 素 的 共 斩 类 共有 |1C| 个 (CC 中 每 一 元 素 对 应 一 个 这 样 的 类 )。 而 ,ns，… ,nk 
则 是 剩 下 的 共 斩 类 中 元 素 的 个 数 。 要 证 明和 |1G| ,只 要 注意 到 nn; 是 与 某 一 个 <cEG 共 
鸭 元 素 的 个 数 。 由 定理 2. 1.12 知 应 等 于 N({a)) 的 陪 集 的 个 数 。 因 而 整除 |G|。 


2.1.3 和 群 的 同 态 与 同 构 


定义 2.1.13 设 f:G>HH 是 群 G 到 群 瑟 的 一 个 映射 。 如 果 Va,b€EG,f(a*5b)== 
fa)。，f09) 则 称 f 了 为 G 到 五 的 同 态 。 进 一 步 ,如 果 f(G) 二 玉 , 则 称 了 为 满 同 态 ;如 
果 /是 单 映 射 , 则 称 f 为 单 同 态 映 射 ; 如 果 f 是 一 一 对 应 , 则 称 f 为 同 构 映射 ,这 时 
称 G 和 五 是 同 构 的 , 记 做 G 实 HH。G 到 G 自身 的 同 构 映射 称 为 自 同 构 。 

同 态 映射 总 是 把 单位 元 映射 到 单位 元 ,把 逆 元 素 映 射 成 像 的 逆 元 素 。 

例 2.1.9( 内 自 同 构 ) 设 G 是 群 。VaE€EG, 定 义 fo:f4(0) 二 aba 1,b5EG。 则 
ff 称 为 群 G 的 由 a 定义 的 内 自 同 构 , 而 把 一 个 元 素 在 内 自 同 构 下 的 像 称 为 该 元 素 的 
共 恩 元 。 显 然 , 群 中 元 素 的 共 恩 关系 是 一 个 等 价 关 系 。 

定理 2.1.14 一 个 群 G 的 所 有 自 同 构 映射 在 映射 的 复合 运算 下 构成 一 个 群 , 称 
为 G 的 自 同 构 群 。 

定义 2.1.14 设 /: GH 是 群 同 态 映 射 。f 的 核 (kernel) 定 义 为 kerf 二 
{a€EGIlf(a) 二 1s)}。 其 中 ,1n 是 玉 中 的 单位 元 。 

例 2.1.10 定义 映射 f: Z 一 2Z,: f(a) 二 [aj.; 则 了 是 同 态 映 射 ,是 kerf==《n)。 

定理 2.1.15( 同 态 基本 定理 ) 设 /: GH 是 群 G 到 群 有 上 的 满 同 态 ,那么 
ker 是 G 的 一 个 正规 子 群 。 而 且 五 同 构 于 商 群 G/kerf, 即 G/kerf 实 日 。 反 之 ,如 
果 NN 是 G 的 正规 子 群 , 则 映射 g: G 一 G/N: g(a) 二 aN 是 G 到 G/N 的 满 同 态 且 
kerp 一 入 。 

证 明 : Va€G,h€Ekerf; 则 f(aha =f(la) fA): fla)=f(a) ly: 
fa)=f(a) f(a )=f(a*a ') 二 ln: 所 以 aha ' Ekerf。 这 样 就 证 明了 kerf 是 
G 的 正规 子 群 。 

令 N= 二 kerf, 定 义 映 射 Jy: G/kerf 习 日 : aN 一 f(a)。 因 为 若 aN= 二 6bN, 则 存在 
n EN 使 4 一 bn ,所 以 f(a) 一 fbn) 一 A(6)f(n) 一 f(6)。 因 此 yy 是 良 定义 的 。 下 
面 就 来 证 明 yy 是 从 G/kerf 到 H 的 同 构 映 射 。y 是 满 射 这 是 显然 的 ,因此 只 需 证 明 
y 是 单 的 同 态 映 射 即 可 。 

一 方面 ,因为 J (aN) 一 lg 访 f(a) 一 lg 六 aEN, 所 以 aN 一 N, 即 aN 为 单位 元 ， 
因此 y 是 单 映 射 。 另 一 方面 ,由 于 对 任何 的 a,b5EG,y (aN *bN) 二 yy ((a*b)N)= 
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flaD sy CaN) ey (ON)=fCa) * f(0)=f(ab) ,因此 y (aN * bN)=Yy (aN).: 
y (5bN) ,所 以 yy 是 同 态 映射 。 综 上 ,证 明了 yy 是 同 构 映射 ,因此 G/kerf 守 HH。 
定理 的 另 一 部 分 结论 可 以 直接 验证 。 


2.2 环 与 理想 


2.2.1 基本 概念 与 基本 原理 


上 节 介 绍 了 群 的 概念 , 它 是 一 种 只 包含 一 个 代数 运算 的 代数 结构 ,而 在 实际 应 用 
中 ,经 常会 碰 到 包含 有 多 个 运算 的 代数 系统 ,如 整数 就 包含 有 加 法 和 乘法 两 种 运算 。 
这 一 节 将 要 介绍 包含 有 两 种 代数 运算 的 代数 结构 。 请 看 下 面 的 定义 。 

定义 2.2.1 一 个 集合 R 称 为 一 个 环 ,如 果 尺 有 一 个 加 法 (十 ) 和 一 个 乘法 运算 
(。) 满 足 : 

1) (R, 十 ) 是 一 个 交换 群 ; 

2) 乘法 运算 满足 结合 律 , 即 (ce。0)。c 一 CC。(O。c); 

3) 加 法 和 乘法 满足 分 配 律 , 即 对 任何 co,cER,a( 十 c) 一 ca 十 acy (十 c)au 一 
pa 十 ca。 

例 2.2.1 所 有 的 整数 在 通常 数 的 加 法 和 乘法 运算 下 形成 一 个 整 环 , 称 为 整数 
环 , 用 Z 表 示 。 这 是 因为 整数 在 加 法 运算 下 正好 构成 一 交换 群 , 而 乘法 运算 和 加 法 
运算 又 满足 分 配 律 。 

定义 2.2.2 1) 一 个 环 称 为 有 单位 元 的 ,如 果 它 有 乘法 单位 元 1。 

2) 一 个 环 称 为 交换 环 ,如 果 其 中 的 乘法 运算 是 交换 的 。 

3) 一 个 环 称 为 整 环 ,如 果 它 是 一 个 交换 的 有 单位 元 的 环 ,1 天 0 且 对 于 任意 的 
4 天 0,0 天 0 一 0a0 天 0。 

4) 一 个 环 称 为 除 环 ,如 果 所 有 非 零 元 在 乘法 运算 下 构成 一 个 群 。 

5) 一 个 交换 的 除 环 称 为 域 。 

在 一 个 环 中 ,如果 < 天 0,0 天 0 但 ab 二 0, 则 称 a,b 是 零 因 子 。 按 照 上 述 定义 , 整 环 
显然 是 一 个 没有 零 因 子 的 有 单位 元 的 交换 环 。 

例 2.2.2 1) 设 (R, 十 ) 为 一 Abel 群 ,对 a.5ER, 定 义 a* 5 二 0, 则 RR 在 原来 的 
加 法 运算 和 新 定义 的 乘法 运算 下 构成 一 环 。 

2) 所 有 偶数 在 通常 数 的 加 法 运算 和 乘法 运算 下 形成 一 个 没有 单位 元 的 交换 环 。 

3) 所 有 从 实数 到 实数 的 映射 按照 运算 

(CF 十 g)Cz) = f(z)+gelz), (fag)(z) = f(r)g(xz), VrER 
形成 一 个 有 单位 元 的 交换 环 。 

4) 一 个 数 域 K 上 的 所 有 7 阶 方 阵 按照 矩阵 的 加 法 和 乘法 构成 有 单位 元 的 非 交 
换 环 。 

5) 所 有 的 有 理 数 在 通常 数 的 加 法 运算 和 乘法 运算 下 构成 一 域 , 称 为 有 理 数 域 ， 
记 做 Q。 
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定义 2.2.3 环 尺 的 一 个 非 空子 集 S 称 为 R 的 一 个 子 环 ,如 果 S 关于 十 和 “。 是 
封闭 的 并 且 在 这 两 种 运算 下 形成 一 个 环 。 

定义 2.2.4 环 尺 的 一 个 非 空子 集 J 称 为 一 个 理想 ,如 果 J 了 是 尺 的 一 个 子 环 并 
且 对 所 有 aEJ,rER, 有 ar€EJ 和 raE€J。 

显然 任何 一 个 环 一 定 包 含 两 个 平凡 的 理想 ,一 个 是 由 整个 环 组 成 的 理想 , 另 一 个 
是 由 单个 0 元 素 组 成 的 零 理 想 。 非 平凡 的 理想 称 为 环 的 真理 想 。 

例 2.2.3 设 Q 为 有 理 数 域 , 则 整数 集 Z 是 Q 的 子 环 ,但 不 是 理想 。 因 为 1€2， 


: i 
i EQ, 但 是 二 “es 了 人 犊 2 


例 2.2.4 设 尺 为 交换 环 ,aER. 则 包含 a 的 最 小 理想 (a) 二 {ra 二 na: rER,nEZ)， 
这 个 理想 称 为 由 a 生成 的 理想 。 特 别 地 ,如 果 RR 包含 一 个 单位 元 , 则 (a)== (ra: rER}。 

定义 2.2.5 R 是 一 个 交换 环 ,R 的 一 个 理想 J 称 为 主 理想 ,如 果 存 在 <cER 使 
得 J 一 (ca)。 

定义 2.2.6 设 R 是 一 整 环 。 如果 R 中 的 每 一 个 理想 都 是 主 理想 , 则 称 R 是 主 
理想 整 环 。 

例 2.2.5 所 有 的 整数 在 通常 数 的 加 法 运算 和 乘法 运算 下 形成 的 整数 环 Z 是 主 
理想 整 环 。 事 实 上 , 任 给 JC2Z 是 2 的 一 个 理想 ,如 果 J 二 {0}, 则 J 已 经 是 一 个 主 理 
想 。 现 在 假设 J 隆 {0}。 因 为 如 果 5EJ, 那 么 一 5pE J 了, 所 以 中 一 定 有 非 负 整数 。 令 
d 是 j 中 最 小 的 非 负 整数 ,我们 来 证 J 三 (d)。 

任 取 aE€EJ 则 存在 t 和 0 三 rr 二 4d 使 < 一 id 十 ”所 以 > 一 < 一 1dEJ。 但 由 于 以 是 了 
中 最 小 的 正 整 数 ,因此 只 能 有 r= 二 0。 所 以 a 二 td4€E (4d), 从 而 J 二 (qd)。 

因为 环 的 理想 可 以 作为 环 的 加 法 群 的 正规 子 群 ,所 以 环 R 的 一 个 理想 J 将 环 民 
分 成 一 些 互 不 相交 的 陪 集 的 并 ,每 个 陪 集 叫 模 J 的 剩余 类 。 把 元 素 a 所 在 的 剩余 类 
记 为 [aj 二 a 十 J( 因 为 里 面 的 元 素 都 是 具有 形式 a 十 c,cE€ J 了)。 

可 以 直接 验证 , 环 尺 模 .J 的 剩余 类 按 运 算 : 

(Tb at 8).J 
(aa 十 J)(2 十 J) 一 aoD 十 了 


可 以 形成 一 个 环 。 

定义 2.2.7 按 上 述 运 算 所 作成 的 由 剩余 类 构成 的 环 称 为 R 模 本 的 剩余 类 环 
(或 商 环 ) , 记 做 R/J。 

定义 2.2.8 设 R,S 为 环 ,a.5ER。 一 个 映射 gp: R 一 S 称 为 环 同 态 ,如 果 : 

1) PCa 十 0) 一 p(a) 十 PCOD); 

2) Pp(Cao) 一 PCa)P(CO) 。 

而 集合 kerg 二 {a€ER: g(a) 一 0€ S} 称 为 同 态 映射 gq 的 核 。 一 个 同 态 映 射 , 如 果 
既是 单 的 又 是 满 的 , 则 称 为 同 构 映射 。 如 果 两 个 环 之 间 存 在 同 构 映射 . 则 说 这 两 个 环 
是 同 构 的 ,用 宇 表示 。 

类 似 于 群 的 同 态 基本 定理 ,也 有 以 下 定理 。 

定理 2.2.4( 同 态 基 本 定理 ) 设 R 和 S 是 环 。 如 果 p: RS 是 满 同 态 , 则 kerp 
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为 R 的 理想 , 且 S 兰 R/kerp。 反 过 来 ;如 果 为 R 的 理想 ,定义 映射 g(a) 一 a 十 J， 
aER, 则 映射 p: R 习 R/J 是 满 同 态 且 kerp 一 J。 

证 明 : 作为 练习 ,此 处 省 略 。 

例 2.2.6 设 n 是 一 个 正 整 数 ,(n) 表 示 由 生成 的 整数 环 Z 中 的 理想 。 那 么 可 
以 得 到 模 (z) 的 剩余 类 环 Z/(n)., 有 时 也 把 这 个 环 称 为 模 n 的 剩余 类 环 .并 用 2， 
表示 。 

例 2.2.7 容易 验证 , 当 p 是 素数 时 ,2Z 二 Z/(p) 是 一 域 , 称 为 阶 为 p 的 Galois 
域 ,并 用 下, 表示。 有 时 也 把 Z, 中 的 元 素 简 单 写 为 0,1,2,…,p 一 1。 

定义 2.2.9 设 R 是 一 个 环 , 对 尺 中 的 一 个 真理 想 P, 如 果 abE PaEP 或 
bEP, 则 称 P 为 R 的 素 理想 。 

定义 2.2.10 设 M 是 环 R 的 一 个 真理 想 。 如 果 对 R 的 任意 一 个 理想 了， 
MCJ ,一定 有 J 二 R 或 J 二 M, 则 称 M 是 R 的 极 大 理想 。 

定理 2.2.2 设 R 是 一 个 有 单位 元 的 交换 环 , 则 

1) 理想 M 是 极 大 理想 今 R/M 是 域 。 

2) 理想 P 是 素 理 想 今 R/P 是 整 环 。 

3) 每 个 极 大 理想 都 是 素 理想 。 

证 明 : 

1) 一 : 设 M 是 极 大 理想 。VYe 人 M, 则 J 一 {ar 十 加 1rER,mEAM} 是 一 个 理想 且 
J] 快 M ,从 而 J 二 R。 所 以 3rER,mE€EM 使 得 ar 十 m= 二 1, 因 此 在 R/M 中 ,[a]* [rj= 
[1]。 所 以 ,.R/M 是 域 。 

一 : 假设 R/M 是 域 ,J 二 M 且 J 关 M, 则 存在 a€EJ,aKM, 所 以 Laj] 隆 0。 设 [aj 
的 道 元 为 [rj],; 即 (a 十 MD (r 十 M)==1 十 M ,那么 ar 十 m= 二 1 对 某 个 mE M 成 立 。 又 因 
为 mEMCJ,a€EJ ,所 以 1 二 ar 十 mEJ, 从 而 J 二 R。 

2) 之 : 假设 已 是 素 理想 , 则 R/P 是 一 个 交换 环 。 单 位 元 为 [1] 二 1 十 P 了 0 十 P。 
假设 (Ce 十 P)( 十 已 ) 王 0 十 已 , 则 < 十 已 天 0 十 已 ,所 以 ab5EP, 从 而 aEP 或 EP 即 
[aj==0 或 [65] 二 0。 所 以 R/P 没有 零 因 子 。 

二 : 设 abEP, 则 [aj[6j==[a6j 二 0。 所 以 [aj= 二 0 或 [6] 一 0, 即 a€EP 或 5EP。 

3) 由 1) 和 2) 立 得 。 

定理 证 毕 。 


2.2.2 多 项 式 环 


设 民 是 环 ,R[zj 是 由 系数 在 R 中 ,未 定 元 为 xz 的 多 项 式 的 全 体 组 成 的 集合 , 那 
么 任 给 RLz] 中 的 一 个 非 零 元 素 f(z) ER[Lxj, 一 定 可 以 写成 
f(r) =arnr" 二 -十 aztao,s as 天 0 
的 形式 ,其 中 ao ,a1,…,asER 且 a, 隆 0。n 称 为 多 项 式 f(x) 的 次 数 , 记 为 deg (f(x))。 
首先 在 RLzj 中 引入 加 法 运算 。 设 f(x) 一 aszr" 十 … 十 qx 十 ao;g(X) 一 br" 十 … 十 
bz 十 bo 是 REz] 中 的 两 个 多 项 式 ,定义 f(x) 和 g(x) 的 加 法 为 
try g(x = ta tarTh yw (av 
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其 次 ,再 定义 RLzj 中 多 项 式 的 乘法 运算 。 设 f(x) 二 amzx" 十 … 十 Qiz 十 ao,am 关 0 和 
gr) 一 Dr 十 … 十 加 十 bo ,5, 关 0 是 RLz] 中 的 两 个 次 数 分 别 为 mr 和 nn 的 多 项 式 , 定 
义 f(x) 和 g(x) 的 乘积 为 

fxr)» g(T) = cmpmr™" 十 chiznt ll 十 … 十 cx 十 co 


其 中 cx* 一 之 Ja nti ly ,一 0,1,…,72 十 ?2， 即 


co 一 Qambn Cm!l 一 CQon0 il 十 ao ibm:cl = aibo 十 aoctyco 


一 aobo 

显然 ,REz] 在 上 面 定义 的 运算 下 构成 一 个 环 ,这 个 环 称 为 环 尽 上 的 单 变 元 多 项 

式 环 。 同 样 ,可 以 递归 地 定义 尽 上 的 多 变 元 多 项 环 尽 Lzl ,zs ，……,zv]: 
REziyrs."sa] = REx Jw):=Ez 

其 中 ,zi ,zs，… ,x 是 未 定 元 。 当 ?一 1 时 ,多 变 元 多 项 式 环 就 是 通常 的 单 变 元 多 项 

式 环 。 

对 于 环 尺 上 的 多 项 式 环 , 有 以 下 定理 。 

定理 2.2.3 设 R[Lz1,…,z,j] 是 环 R 上 的 多 项 式 环 ,那么 

1) R[x ,… ,zj 是 交换 的 今 R 是 交换 的 。 

2) R[x1，… ,x,Jj 有 单位 元 今 R 有 单位 元 。 

3) R[x1，… ,zxnj 是 一 个 整 环 OR 是 整 环 。 

在 这 一 节 , 主 要 讨论 域 上 的 单 变 元 多 项 式 环 ,而 把 系数 在 域 下 中 的 多 项 式 称 为 
域 下 上 的 多 项 式 。 从 上 面 的 定理 容易 看 出 ,对 于 一 个 域 下 , 域 上 的 多 项 式 环 FLz] 一 
定 是 一 个 整 环 。 首 先 看 下 面 的 定义 。 

定义 2.2.11 设 f(z) 和 g(xz) 是 域 下 上 的 两 个 任意 多 项 式 ,g (x) 了 0。 如 果 存 
在 一 个 多 项 式 g(x) E€ FLxj 使 得 

f(x) = q(x)g(r) 
成 立 ,那么 就 称 g(xz) 整 除 f(x) 或 者 f(x) 可 以 被 g(xz) 整 除 . 记 做 g(x)|f(r)。 这 时 
把 gz 叫做 f(x) 的 因 式 ,而 把 f(z 叫做 g(x) 的 信 式 。 显 然 ,任何 一 个 多 项 式 , 一 
定 有 两 种 因 式 ,一 种 是 非 零 的 常数 多 项 式 , 另 一 个 就 是 多 项 式 本 身 , 我 们 把 这 两 种 因 
式 称 为 多 项 式 的 平凡 因 式 ,和 否则 称 为 非 平 凡 因 式 。 如 果 一 个 多 项 式 不 能 写成 两 个 非 
平凡 因 式 的 乘积 ,那么 就 称 这 个 多 项 式 是 不 可 约 多 项 式 , 或 既 约 多 项 式 。 

不 可 约 多 项 式 的 概念 是 多 项 式 环 中 的 一 个 重要 概念 ,从 本 节 后 面 的 定理 可 以 看 
到 FLz] 中 的 每 一 个 多 项 式 都 可 以 分 解 成 不 可 约 多 项 式 的 乘积 。 

定理 2.2.4( 多 项 式 除 法 ) g(x)EF[xj,g(x) 关 0, 则 对 任何 FCz)EFLz], 一 
定 存 在 多 项 式 g(x) :rCz)EFLz], 满 足 

f(x) 一 SCZ)。dqCr) 十 rCz)， deg(r(r)) = deg(g(7x)) 

证 明 : 如 果 deg(f(7z)) 二 deg(g (x)), 则 定理 显然 成 立 , 这 时 只 要 取 g(x) 王 0， 
rr) 二 f(z) 即 可 。 现 在 假设 deg(f (zx)) 宇 deg(g(x))。 用 数学 归纳 法 来 证 明定 理 仍 
然 成 立 。 

假设 对 deg(f (zx)) 二 nn 的 多 项 式 f(x) 定理 成 立 , 现 在 来 考察 deg (f(x)) 一 
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n 宇 deg(g (zx)) 的 情况 。 设 f(z) 二 aszr "十 "十 qx 十 qo,g(X) 二 bx" 十 "十 Di 十 bo， 
nn 三 m。 因 为 
fz) 一 bn arr "g (ZT) 二 (ai 一 bm anbmi1)X"! 十 … 十 低 次 项 

所 以 f(z) 一 bm ant””g (Zz) 是 次 数 不 大 于 n 一 1 的 多 项 式 。 根 据 归纳 假设 , 知 存在 
多 项 式 gi (xz) 和 r(x) 使 得 

fz) — bn arx™ "g(r) = g(r)q (zr)+r(r), deg(r(z)) < deg(g (zx)) 
所 以 

f(z) = (qr to lar™ g(r) t+r(r) = g(r)g(r)+r(r) 

其 中 ,g(x) 二 qn (x) 十 6。'anz””。 定 理 得 证 。 

例 2.2.8 FFCz) 一 2z5 十 zi 十 4z 十 3EFs[Lzj,g(Cz) 一 3z2 十 1EFsLz]j。 因 此 有 

f(z) 一 (4z3 十 2z2 十 2xz 十 1)gCz) 十 (2z 十 2) 

即 gCz) 一 4z3 十 2z2 十 2z 十 1,r(Cz) 一 2z 十 2。 

定理 2.2.5 设 正 是 域 ,那么 下 上 的 多 项 式 环 下 Lz] 是 主 理想 整 环 , 即 对 任何 
J 天 (0) 是 FLz] 中 的 一 个 理想 ,必定 存在 多 项 式 g€ FL[Lxj] 使 得 J 一 (Cs)。 

证 明 : 因为 J 敌 (0) ,因此 JJ 中 一 定 存在 非 零 多 项 式 。 假 设 g(x) 是 丁 中 一 个 次 
数 最 低 的 多 项 式 , 下 面 证 明 g 是 JJ 的 一 个 生成 元 。 

设 FGz) 是 JJ 中 的 任意 一 个 元 素 , 则 根据 定理 2. 2. 4 一 定 存 在 gCz),rCz)EFLz]， 
使 得 

f(z) = g(r)g(r)+r(zr), deg(CrCz)) = deg(g(x)) 

所 以 r(xz) 二 f(x) 一 q(x)g(x)。 注 意 到 J 是 理想 ,g(x)EJ, 因 此 g(x)g(x)EJ, 从 
而 rx) 三 f(z) 一 g(x)g(zx)EJ. 而 且 deg(r(zx)) 二 deg(g(x))。 但 是 根据 假设 ,g(x) 
是 三 中 次 数 最 低 的 多 项 式 , 因 此 只 能 有 r(xz) 二 0, 也 就 是 说 f(x) 二 g(x)g (xz), 所 以 
J 二 (g(x))。 定 理 得 证 。 

定理 2.2.6 假设 f1,f:,…,f, 是 FLzxj] 中 不 全 为 零 的 一 组 多 项 式 , 则 存在 唯一 
的 首 一 多 项 式 d 满足 : 

1) d 整除 每 一 个 f;。 

2) 整除 每 个 f; 的 c 一 定 整除 4 。 更 进一步 , 36;E FLxJ 使 得 d 一 2)6b.f;。 

证 明 : 令 本 二 {2cfi | ci€ FLzj}; 则 J 是 FLzxJ 中 的 理想 , 且 户 EJ。 由 于 
FLz] 是 主 理想 整 环 , 所 以 存在 首 一 多 项 式 4€EF[Lxj, 使 J 一 (d)。 所 以 dl1fi 上 且 
d 二 >)cai( 因 为 &EJ)。 所 以 2) 成 立 。 

假设 有 另 一 个 di 满足 1) 和 2), 则 d, 和 4 是 相伴 的 ,因此 wd: 一 < 。 

上 述 定理 中 的 首 一 多 项 式 d 称 为 万 ,…: 广 的 最 大 公 因 式 , 表 示 为 gd 一 gcd( 记 ,…， 
万 ) 或 4 一 (六 ,…, 广 )。 如 果 < 一 1, 则 称 族 ,…,f 是 互 素 的 。 

推论 2.2.1 假设 用 ,ff:,，…,f, 是 FLzj] 中 不 全 为 零 的 一 组 多 项 式 。 如 果 多 项 
式 d(x)EFLzrj 是 及 ,…,f。 的 最 大 公 因 式 , 那 么 一 定 存在 一 组 多 项 式 cl Cz),…， 
ca《X) EF[zj, 使 得 

dlr = 
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推论 2.2.2 设 f(zr),g(z),h(r)EF[zj,h(r)|f(zx)g(x)。 那 么 ,如 果 (h(x)， 
f(z))=1, 则 h(x)| g(r), 
证 明 : 根据 推论 2. 2.1, 存 在 多 项 式 s(x),t(z) 使 
Ory hn 
两 边 同 乘 以 g(x) 得 
g(x) =s(x)f (rg zr) t+h(r)i(r) gr) 
=s(x)。 (f(x)g (x)) h(xr) » (tr)g(x)) 
因为 h(x) 整除 上 式 右边 的 每 一 项 ,因此 h(z) 也 整除 上 式 的 左边 , 即 h(x)|g(x)。 
下 面 以 定理 的 形式 给 出 求 两 个 多 项 式 的 最 大 公 因 式 的 轧 转 相 除 法 。 
定理 2.2.7( 轧 转 相 除 法 ) 设 /(zx),g(zx) 是 域 下 上 的 两 个 多 项 式 ,g (zx) 隆 0。 
记 ro(z) 二 f(x) ,ri(zx) 二 g(x), 并 反复 使 用 定理 2.2.4 给 出 的 多 项 式 除法 , 则 有 
ro(z) = qi(z)rn(z)tr (rz) 0 deg(rs (zx)) ~ deglri(x)) 
n(xz) 一 qz(Cz)rz(Cz) 十 raCz) 0 deg(rs(z)) = deg(rs (zx)) 
r(x) = ge (Xr (rz) ra lz) 
0 deg(CreCz)) = deg(ri (zx)) 


上 述 过 程 经 过 有 限 步 后 ,一 定 存在 使 得 riti 二 0。 这 时 得 到 的 rs (xz) 就 是 多 项 式 
f(z),g(z) 的 最 大 公 因 式 , 即 ri(x)= 二 (f(zx),g(7z))。 

实际 上 ,利用 上 述 定理 给 出 的 算法 ,也 可 以 求 出 推论 2. 2. 1 中 最 大 公 因 式 的 表达 
式 , 这 只 要 从 算法 中 把 rs(z) ,ra(z),… ,re-1 逐 次 消去 即 可 。 

例 2.2.9 设 Fz) 一 z28 十 zu 十 z? 十 z8 十 z5 十 z5 十 zi 十 zs 十 1,g(Zz) 一 zs 十 zt 二 
2Z3 十 z 十 1EFs[Lz], 求 多 项 式 sCz),tCz)EEF:[Lz] 使 

(CCz)ygCz)) 一 SCZ)FCz) 十 tiCZ)gCZ) 

令 yo(z) 二 f(x) ,rm(z) 二 g(x), 运 用 回转 相 除 法 , 则 有 

ro(z) 一 gz)r(Cz) 十 re(Cz)， qiCz) 一 z5 十 zs， re(rz)=zx zr 二 1, 


rm (Zz) 一 qz(z)re(z) 十 ra(Cz)， qz(Czr) 一 工 十 1， rs(z) = x 十 x‘ 十 zx*， 
re (ZX) = gs(z)ra (zx) +rn(rz), ga(z) 一 工 十 1， mi(z) 一 zx5 十 zs 十 1， 
ra(Z) 一 ge(Cz)mi(z) 十 ri(z)， geCr) 一 工 rs(z) 一 3 十 Z， 
m(z) 一 gs(Cr)re(z) 十 re(Zz)， gs(Cz) 一 并 2 

75( 工 ) 一 ge (Xx)re (zx), ae) = 二 xs 


因此 ,(f(zx),g(x))=re(z)=1, 有 8 
re(Xx)= r(x) + gs (xz)rs (7) 
= r(xz)T qs (xX) ra (rT) it qx)r (rz)) 
= (z2)rs(z) 十 (1 十 zs)mr(CZ) 
一 (zz)ra(Cz) 十 (1 十 zs)(rz(Czr) ga (x)ra (rz)) 
一 (1 十 zs)rz(Cz) 十 (z 十 zs 十 z2 十 并 十 1)7s(Cz) 
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一 (1 十 zs)rz(Cz) 十 (rz 十 zs 十 zz 十 并 十 1)CrCz) 十 qzCz)rz(Czr)) 
二 (xt 十 x 十 XxX 十 十 Drni(zx) 十 (x 十 Xx?)rs (x) 
二 (zt 十 十 十 十 Dn(r) 二 (zx 十 X33)(ro(z) 十 qi(z)ri(r)) 

一 (zs 十 zs)roCzr) 十 (zl 十 zs 十 zi 十 zs 十 zz 十 工 十 1)r(Cz) 

(z5 十 zs)FCz) 十 (Czo 十 zs 十 zL 十 妈 十 z2 十 并 十 1)g(z) 

因此 ,s(x)=x 十 zx ,x)= 二 zx" 十 x 十 x 十 wz 十 Zz? 十 十 1。 

相对 于 多 项 式 的 最 大 公 因 式 , 也 可 以 定义 多 项 式 的 最 小 公 倍 式 , 请 看 下 面 的 
定妆， 

定义 2.2.12 设 F(z),s(Cz) 是 域 民 上 的 两 个 多 项 式 。mCz)EFLz] 是 域 已 上 
的 另 一 多 项 式 。 如 果 

(1) fx) | mC(z)s g(r) | za(z)5 

(2) 对 h(xr)EF[xj, 如 果 也 有 f(z) hCGr) ,gCz) hCGz), 则 mm(zx)1h(r)。 

那么 x() 就 叫做 FCz),sCz) 的 最 小 公 倍 式 , 记 做 LFCz),s(Cz)] 或 lcmCFCz)， 
ELIS 

定理 2.2.8 设 p(z) 是 域 下 上 的 一 个 不 可 约 多 项 式 , 即 p(x)E FLx]。 那 么 由 
plzx) 生 成 的 理想 (p(x)) 是 FLz] 中 的 极 大 理想 ,因此 也 是 FLz] 中 的 素 理想 。 

证 明 : 假设 本 是 FLxj 的 一 个 理想 , 且 J 卫 (pz))。 需 要 证 明 如 果 J 天 (APCz))， 
那么 J 一 FLz]。 设 有 rCz)EjJ ,但 rz) 人 (CpGCz))。 因 为 pCz) 是 一 个 不 可 约 多 项 式 ， 
所 以 (PCz),rCz)) 或 者 一 1 或 者 一 pz)。 但 由 于 7-(Cz) 公 (CpGz)) ,因此 户 Cz)rCz) ,从 
而 (px) ,rz)) 关 p(x), 所 以 有 (p(x),r(z))= 二 1。 根据 推论 2. 2.7, 存 在 多 项 式 
s(X),t(X) EFLzj, 使 得 s(x)p(z) 十 tC(zx)rlz)= 二 1。 但 p(xz),r(zx)EJ, 因 此 1= 
sCX)p(z)+t(z)r(rx)EJ, 所 以 J 二 FL[x]。 定 理 证 毕 。 

推论 2.2.3 设 p(r) 是 域 下 上 多 项 式 环 FLx] 中 的 一 个 多 项 式 , 则 商 环 FLz]/ 
(p(x)) 是 域 当 且 仅 当 p(x) 是 一 个 不 可 约 多 项 式 。 

定理 2.2.9 设 下 是 域 ,pC(z),f1(z),fe(z),…,fn(z)EF[Lzj 且 p(x) 是 不 可 
约 的 。 如 果 


px) | fx) fe Cx) fn lx) 
那么 p(x) 一 定 整除 至 少 其 中 的 一 个 因 式 。 

证 明 : 考虑 商 环 Q 二 FLzj/(p(zx))。 因 为 p(xz) 是 不 可 约 多 项 式 , 因 此 (p(x)) 是 
FLxj 中 的 极 大 理想 ,所 以 Q 是 域 。 用 [fj; (zx)j 表 示 Q@ 中 f(z) 二 1,2,… sm) 所 在 的 等 
价 类 ,由 题 设 知 在 Q@ 中 [fiCz)]* [fsCz)j*…* [fs Cx)j]=[Lfi(zr) fo (7x) fn (rx)j= 
[o]。 所 以 至 少 有 一 个 L 户 Cz)] 一 [0], 即 f(x)ECpCz))。 所 以 p(x)|fj(z)。 

鉴于 上 述 定理 的 结果 ,因此 有 时 也 把 不 可 约 多 项 式 称 为 素 多 项 式 , 它 实际 上 是 环 
FLz] 中 的 一 个 素 元 。 

定理 2.2. 10( 唯 一 分 解 ) 设 F(z) 是 域 F 上 多 项 式 环 FLzj] 中 的 一 个 正 次 数 多 项 
式 。 那 么 f(x) 一 定 可 以 写成 

fx) 一 CCpCz))a (p(x))% 
其 中 aEF ,pi;(z) 是 不 同 的 不 可 约 多 项 式 ,e; 宇 1. 而 且 在 不 计 次 序 的 情况 下 ,这 种 分 


BE2 
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解 是 唯一 的 。 
证 明 : 由 定理 2. 2.9 立 得 ,此 处 略 。 


2.3 域 和 扩 域 


设 下 是 域 , 氏 是 下 的 子 集 。 如 果 开 在 开 的 运算 下 也 构成 一 个 域 , 则 称 开 为 下 
的 子 域 。 而 下 则 称 为 K 的 扩 域 (或 扩张 )。 特 别 地 ,如 果 开 天 下 , 则 称 开 为 下 的 真 
子 域 。 

定义 2.3.1 一 个 域 如 果 不 包含 任何 真子 域 , 则 称 为 素 域 。 如 果 一 个 域 下 的 子 
域 作 为 域 是 素 域 , 则 称 该 子 域 为 下 的 素 子 域 。 

注意 到 任意 多 个 子 域 的 交 仍 然 是 子 域 .可 以 知道 一 个 域 的 素 子 域 实际 上 就 是 该 
域 的 所 有 子 域 的 交 。 

例 2.3.1 显然 ,有 理 数 域 Q 和 阶 为 素数 p 的 Galois 域 F, (参看 例 2. 2.7) 都 是 
素 域 。 

定理 2.3.1 一 个 域 下 的 素 子 域 在 特征 为 p 时 同 构 于 阶 为 p 的 Galois 域 已 ,而 
在 特征 为 0 时, 同 构 于 有 理 数 域 Q。 

证 明 : 设 P 是 下 的 素 子 域 , 则 PP 一 定 包 含 0 和 1。 下 面 分 特征 为 0 和 特征 为 p 
两 种 情况 来 证 明 。 

ch(F)= 二 pp 的 情况 : 因为 {0,1}CP, 所 以 {mx，1 | mE2Z}CP。 构造 映射 

$:Z—> PP:mmn 。1 

容易 验证 上 是 一 个 环 同 态 映 射 , 且 ker$ 二 (p)。 所 以 F, 二 2Z/(p) 二 2Z/ker$g 宇 $(2Z)CP。 
但 由 于 FF 是 域 ,P 又 没有 真子 域 ,因此 忆 伍 8CZ) 一 己 。 

ch(F) 二 0 的 情况 : 因为 {0,1}CP, 所 以 {Gm*，1)(n*，1)7!|m,nE2Z}CP。 构造 
映射 : 

$: Q—> P: m/nomm* Dae 1)7 

容易 验证 $ 是 一 个 环 的 单 同 态 映 射 。 因 此 ,Q 宇 6(Q)CP。 但 由 于 QQ 是 域 , 且 P 又 没 
有 真子 域 ,因此 Q 宇 8(Q) = 二 PP。 定 理 证 毕 。 

定义 2.3.2 K 是 下 的 子 域 。M 是 下 的 任何 子 集 。K(M) 定 义 为 所 有 含有 M 
和 KK 的 子 域 的 交 , 称 为 添加 M 中 的 元 素 得 到 的 K 的 扩 域 (或 扩张 ) 。 显 然 KCM) 是 
含有 K 和 M 的 最 小 的 子 域 。 当 M 二 {101.0;,….,0,) 时 , 记 K(M) 二 K(0,,0,,…,0,)。 
特别 KC9) 称 为 单 扩 域 (或 单 扩 张 ),9 称 为 K(9) 在 K 上 的 定义 元 。 

定义 2.3.3 设 a 是 域 的 某 一 扩 域 中 的 元 素 。 则 称 a 是 多 项 式 FCz)EFLz] 
的 一 个 根 ( 零 点 ) 或 者 说 a 满足 多 项 式 (zx), 如 果 f(a) 二 0。 

定理 2.3.2( 余 数 定理 ) 设 f(x)EF[xj,a€EF。 那么 a 是 (x) 的 一 个 根 当 且 
仅 当 (zx 一 a) | f(z)。 

证 明 : 假设 a€E FF 是 f(z) 的 一 个 根 。 根据 多 项 式 的 除法 ,知道 存在 g(x)， 
r(x)EFLzj] 使 得 


IO 


第 2 章 ”代数 方法 与 技术 
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且 deg(r(x)) 二 deg(x 一 Qo) 二 1。 将 x 二 a 代入 上 式 得 rla) 二 f(a) 二 0, 但 deg(CrCz)) 一 1， 
r(z) 是 一 常数 多 项 式 , 因 此 r(x) 一 0。 这 样 就 证 明了 (zx 一 a) | f(x)。 

反 过 来 ,如 果 (x 一 a) | f(x), 则 存在 q(x)EF[zxj,; 使 f(x) 二 g(x) (zr 一 Q), 所 以 
f(a) 二 0, 因 此 a 是 f(x) 的 一 个 根 。 定 理 证 毕 。 

从 上 面 的 定理 可 以 看 出 ,a 是 f(x) 的 一 个 根 和 多 项 式 x 一 a 能 整除 f(x) 是 等 价 
的 。 如 果 存 在 整数 光宇 2 使 (z 一 a)”| 7FCz) ,但 Cz 一 ao) f(z), 则 称 a 是 f(x) 的 
m 次 重 根 , 否 则 称 a 为 f(x) 的 单 根 。 

定义 2.3.4 设 K 是 下 的 一 个 子 域 ,9 EF, 如 果 09 满 足 K 上 的 一 个 非 零 多 项 
式 , 则 称 9 为 K 上 的 代数 元 。 不 是 代数 元 的 元 素 称 为 超越 元 。 如 果 K 的 一 个 扩张 中 
的 每 个 元 素 都 是 K 上 的 代数 元 , 则 该 扩张 称 为 代数 扩张 。 

定义 2.3.5( 极 小 多 项 式 ) 设 K 是 下 的 一 个 子 域 ,a 是 下 中 域 K 上 的 一 个 代数 
元 。 那 么 人 Lz] 中 满足 g(a) 二 0 的 次 数 最 小 的 多 项 式 

g(XT) 一 阅 十 az 十 … 十 ao 
叫做 “在 开 上 的 极 小 多 项 式 , 多 项 式 gsgCz) 的 次 数 称 为 代数 元 次 数 。 

定理 2.3.3 如 果 09 EF 是 K 上 的 代数 元 ,那么 9 的 极 小 多 项 式 g 具有 以 下 

1) g 是 不 可 约 的 。 

2) 令 J= 二 {f(z)EKLzj1f(9) 二 0}, 则 J 丁 是 KLzxzj 中 的 一 个 理想 , 且 J 二 (g)。 从 
而 ,KLzxj 中 多 项 式 f(z) 满 足 f1(0) 二 0 守 g (zx)|f(zx)。 

证 明 : 

1) 假设 g(xz)==h (xz)hs(z), 其 中 1 寺 deg (h(x)),deg(hs (7x))<deg(g (zx))。 
那么 h1(9)hs(0) 二 g(9) 二 0, 所 以 或 者 h1(0) 二 0, 或 者 hs(9) 二 0。 无 论 哪 种 情况 都 与 
g(x) 是 9 的 极 小 多 项 式 相 蔬 盾 。 

2) 只 需 证 明 J 是 KLzxj 中 的 理想 即 可 。 注 意 到 如 果 f(x) 以 9 为 根 ,那么 对 任何 
的 hz)EKLzj,f(z)h(z) 也 以 9 为 根 。 不 难 验 证 J 古 是 KL[zj] 中 的 理想 。 定 理 证 毕 。 

设 工 是 域 K 的 扩 域 ,那么 L 可 以 看 成 K 上 的 向 量 空间 ,这 只 要 将 K 中 的 元 素 
看 作 数 ,把 工 中 的 元 素 看 成 向 量 ,K 中 元 素 与 L 中 元 素 在 L 中 的 乘法 看 作 是 数 与 向 
量 的 乘法 即 可 。 如 果 工 作为 K 上 的 向 量 空间 是 有 限 维 的 , 则 称 工 是 开 的 有 限 扩张 ， 
向 量 空间 的 维 数 称 为 扩张 次 数 , 记 为 [L : Kj]。 

定理 2.3.4 ”如果 工 是 K 的 有 限 扩 张 ,M 是 L 的 有 限 扩张 , 则 LCM : 开 ] 一 
EM .EILE SK 

证 明 : 设 LM : 工 ] 二 mrwya,…,am 是 M 在 L 上 的 一 组 基 .[L: Kj]=n.B,…,pB, 
是 L 在 K 上 的 一 组 基 。 那 么 对 任意 a€E Ma 可 以 写成 a 二 Xa 十 … 十 7Ywam ,其 中 7;€ 
L (1 二 i 三 mm) ,而且 每 个 7 又 可 以 写成 7; 二 raB 十 … 十 rmBn(1 二 i 过 mmr), 其 中 7 EK 
(1 二 i 过 mr;1 志 j 志 n)。 所 以 


a D3 四 至 (2 rsp; )a; =- > Dre 


j=1 


如 果 能 证 明 zzz 个 元 素 aiB; (1 二 im,1 志 j 二 nn) 在 K 上 是 线性 无 关 的 :那么 定理 就 得 


区 信息 安全 中 的 数学 方法 与 技术 


到 了 证 明 。 假 设 


3 2 ssaB; = 


其 中 5 EK。 那 么 


nn 


bp (> sp; )a; 二 :地 


iml j=1 


因此 ,从 al,…,aw 在 L 上 的 线性 无 关 性 可 得 


a =0 li<n 
再 利用 PB,…,B, 在 K 上 的 线性 无 关 性 可 推出 所 有 的 s;; 二 0。 定 理 证 毕 。 
定理 2.3.5 每 个 有 限 扩 张 都 是 代数 扩张 。 


证 明 : 假设 [L : Kj 二 mm, 则 Y9EL,m 十 1 个 元 素 ( 向 量 )1.0.02 ,…,0" 肯定 是 线 
性 相关 的 。 所 以 存在 a EK，a0' 二 0. 因 此 9 满足 多 项 式 f(z) 二 aiz', 所 以 


9 是 代数 元 。 

定理 2.3.6 设 9 是 域 K 上 的 代数 元 , 极 小 多 项 式 为 g ,deg(g) 二 n。 那 么 : 

1) K(0) 二 = KL[zj/(g)。 

2) [K(0) :Kj=n, 且 {1,0,…,0"!} 是 K(0) 在 K 上 的 一 组 基 。 

3) 每 一 个 a€E K(9) 都 是 KK 上 的 代数 元 ,其 次 数 整除 n。 

证 明 : 

1) 定义 r: K[xj 一 K(9): FF 一 大 C0), 则 = 是 一 同 态 映射 , 且 kerr 一 (5E)。 所 以 
5K[Lzj) 宇 KLzj/(g), 因 此 tC(K[xj])CK(0) 是 子 域 。 因 为 0E rt(K[xj), 所 以 也 有 
K(9)Cr(K[Lzxj) ,因此 K(0) 二 rt(K[zj), 从 而 K(0) 衬 K[xj]/(g)。 

2) 由 于 rtCK[zj)= 二 K(0), 所 以 Ya€ K(0), 3fE KL[Lzxj, 使 得 /(0) 二 a。 因为 
deg(g) 二 nn, 根 据 多 项 式 除法 可 以 要 求 f 的 次 数 小 于 n。 所 以 a 可 以 写成 1,0,…， 


2 的 组 合 。 下 面 证 明 1.0,… ,9 :是 线性 无 关 的 。 如 果 ao 十 a10 十 … 十 as-19 ! 二 0， 
则 知 0 满足 多 项 式 f(x) 二 qo 十 arz 十 … 十 as-1X”!。 但 由 于 9 是 次 数 为 n 的 代数 元 ， 
因此 只 有 f(x) 二 0, 从 而 推出 ao 一 ai 一 … 一 ai 一 0。 所 以 ,[LK(CO) : K] 二 n 且 1.,0， 


…:0 :是 天 (0) 在 天 上 的 一 组 基 。 

3) 因为 K(9) 是 K 的 有 限 扩张 ,根据 定理 2.3.5,K(9) 也 是 KK 的 代数 扩张 ,所 以 
aEK(9) 是 KK 上 的 代数 元 。 进 一 步 ,K (0) 汪 K(a) 沪 K, 所 以 [LK (0) : K] 一 [K(0): 
K(a)] [KCa) : K]。 所 以 LK (a) : Kj] 整除 ,也 就 是 a 的 次 数 整除 ，”。 

定理 2.3.7 设 f(rx)EKL[Lzxj] 是 一 个 不 可 约 多 项 式 , 则 存在 开 的 一 个 单 代数 扩 
张 以 f(x) 的 一 个 根 作为 定义 元 。 

证 明 : 考察 商 环 L 一 KLzrj/(f(zx))。 根据 推论 2. 2.3,L 是 一 域 ,其 中 的 元 素 都 
是 模 CFCz)) 的 剩余 类 , 即 工 一 (LA 一 2 十 CAERKLz])。 构 造 从 天 到 工 的 映射 $: 
arm[La]。 易 知 $ 是 一 个 同 态 单 映 射 , 所 以 K 同 构 于 二 的 某 个 子 域 ,因此 可 以 把 a 和 
[aj 等 同 起 来 ,并 把 LL 看 成 K 的 一 个 扩 域 。 而且, 在 上 述 对 应 下 ,对 任 一 多 项 式 h(x) 王 
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ao 十 aiz 十 十 awmwxz"EKL[Lzxzj,; 有 [hj] 二 [ao 十 aiz 十 … 十 awzx”j] 二 [aoj 十 [ar jz 十 … 十 
[anjzx” 二 ao 十 ai[zxj 十 … 十 amn[xjJ"。 这 样 ,L 中 的 任何 一 个 元 素 都 可 以 写成 [rj 的 KK 
上 多 项 式 的 形式 。 因 为 任何 一 个 既 包 含 K 又 包含 [xj 的 域 必定 包含 这 些 K 上 的 [x] 
的 多 项 式 , 因 此 工 是 在 K 添加 [xj 得 到 的 单 扩 域 。 如 果 写 f(x) 二 bo 十 x 十 … 十 
pz 那么 f([z])= 二 B60 十 [zj 十 一 十 6,[xJ"= 二 [bo 十 Bi 十 … 十 bz" 二 [有 二 0, 所 以 
[xj 是 f(x) 的 一 个 根 ,而 且 工 是 K 的 单 扩 域 。 定理 证 毕 。 

例 2.3.2 设 f(z)==x? 十 x 十 2EFs[xj, 构 造 模 (f(x)) 的 剩余 类 环 L=Fs[xj]/ 
(f(z)), 则 工 也 (可 看 作 ) 是 下 的 扩 域 , 且 9 二 [xj 二 x 十 (1) 是 了 的 一 个 根 ,29 十 2 是 
其 另 一 个 根 。 所 以 工 二 Fs(0) 二 {10,1,2,0,0 十 1,0 十 2,20,20 十 1,20 十 2)。 容 易 验 证 ， 
添加 29 十 2 到 F 上 就 会 得 到 同一 个 域 。 

定义 2.3.6 设 EE 是 一 域 ,.E[zxj] 是 上 的 多 项 式 环 。 如 果 E[xj 中 的 每 一 个 多 
项 式 在 EL[zxj 中 都 可 以 分 解 成 一 次 因 式 的 乘积 , 则 称 EE 为 代数 闭 域 。 

显然 ,代数 闭 域 不 再 有 真正 的 代数 扩 域 。 

定义 2.3.7 域 下 的 一 个 扩 域 已 叫做 下 Lz 中 半 次 多 项 式 FCz) 在 下 上 的 一 个 分 
裂 域 ,如 果 FCz) 在 已 上 可 以 分 解 成 一 次 因 式 的 乘积 ,而 在 任何 一 个 玖 的 真子 域 K 
(FCKCE) 上 ,f(x) 都 不 能 分 解 成 一 次 因 式 的 乘积 。 也 就 是 说 ,E 是 包含 f(z) 的 所 
有 根 的 下 的 最 小 扩 域 .或 者 说 EE 是 一 个 使 得 f(x) 能 够 分 解 成 一 次 因 式 之 积 的 下 的 
最 小 扩 域 。 

显然 有 以 下 定理 。 

定理 2.3.8 令 玉 是 域 让 上 多 项 式 f(x) 的 一 个 分 裂 域 ， 

ir) an(T—a)(rT—a)(r—a), oaEE 

那么 ,E=F(al,*… ,a,)。 

定理 2.3.9 给 了 域 K 上 的 一 多 项 式 f(r)。 那 么 f(x) 在 K 上 的 任何 两 个 分 
裂 域 是 同 构 的 。 而 且 其 同 构 映 射 可 保持 下 中 的 元 素 不 动 .但 把 f(x) 的 一 个 根 映射 
成 另外 一 个 根 。 

证 明 : 该 定理 的 证 明 超 出 了 本 书 的 范围 ,有 兴趣 的 读者 可 以 参考 文献 L1] 中 的 
证 明 。 


2.4 模 与 向 量 空间 


2.4.1 向 量 空间 


向 量 空间 的 理论 ,又 称 线性 代数 :是 高 等 数学 中 的 重要 内 容 。 在 这 一 节 将 介绍 向 
量 空间 理论 。 

定义 2.4.1 设 K 是 一 域 ,一 个 K 上 的 向 量 空间 V 是 一 个 加 法 群 与 一 个 称 为 数 
乘 的 运算 : KXV nr, 对 任意 的 MA,wEK 和 wv,wEV 满足 : 

(1) A* (vi+rw)=A* vt+A* ws; 

(2) Qtp) » v=A* vitp* vs; 
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(3) (A* p) * v=Ae (pe* v0)s 

(4) 1 * v=wvw。 

我 们 把 一 个 向 量 空间 V 中 的 元 素 称 为 向 量 , 而 把 域 K 的 元 素 称 为 数 。 

例 2.4.1 (1) 设 KK 是 一 域 ,V= 二 {10} 是 一 平凡 的 Abel 群 ,对 任意 AE 开 ,定义 数 
乘 运 算 A4*.， 0=0, 则 V 是 一 K 向 量 空间 。 

(2) K 是 一 域 ,1 三 nEN 。 在 K”" 中 定义 加 法 运算 如 下 : 

(Vi 0 ) (to) = (oi 二 wi 十 wn ) 
则 K” 构成 一 加 法 群 , 零 元 素 为 (0,…,0)。 如 果 进 一 步 定 义 KX K" 一 K" 的 数 乘 
运算 : 
(own) 一 (Mo ,Av,) 

则 K" 构成 一 KK 向 量 空间 。 我 们 把 这 个 向 量 空间 记 为 V,(K)。 

(3) 设 下 是 一 域 ,K 是 下 的 一 子 域 。 如 果 定 义 KXF>F 下 数 乘 运算 为 中 的 乘 
法 运算 , 则 下 称 为 一 个 K 向 量 空间 。 

引 理 2.4.1 设 V 是 一 K 向 量 空间 ,vEV,X4EK。 那 么 

(1) 0。u 一 0.。0 一 0; 

2) CE Vs 

证 明 : (1) 注意 到 0。，wvw= 二 (0 十 0)，wv 二 0，vw 十 0。，wv, 所 以 0，v 二 0。 同 时 ,由 于 
A。0 二 和 A。(0 十 0)= 二 A4。0 十 4。0, 因 此 0 二 XA。，0。 

(2) 考查 方程 : 

0 Oe*v 二 lsv+(—1)* v= v+(—1) sv 

所 以 一 ww 一 (一 1)。v。 

定义 2.4.2 设 V 是 一 个 K 向 量 空 间 。 我 们 称 V 的 一 个 非 空 子 集 U 是 一 个 子 
空间 ,如 果 在 U 中 加 法 运算 和 数 乘 运算 都 是 封闭 的 ,也 就 是 说 , 任 给 v,wEU.AEK， 
都 有 wwEU,A，vEU。 

从 子 空间 的 定义 可 看 出 ,对 任意 的 vEU,0 二 0 。vEU ,一 v= 二 (一 1)。vEU, 因 此 
U 实际 上 也 是 V 的 一 个 子 群 。 

定义 2.4.3 设 V.W 是 两 个 K 向 量 空间 。 一 个 映射 %: VW 称 为 K 向 量 空 
间 的 一 个 线性 映射 (或 同 态 ) ,如 果 对 任意 的 u,vEV.A4EK., 有 

$lutv) = $Cu) + $v) 
$A»v) =A. $v) 

进一步 ,如 果 $ 还 是 一 个 双 射 , 则 称 $ 是 一 个 同 构 映 射 。 

容易 证 明 以 下 定理 成 立 。 

定理 2.4.1 设 y:V 一 W 是 一 个 K 向 量 空间 的 线性 映射 ,那么 $8(V) 是 W 的 一 
个 子 空间 ,ker(g) 一 g% 1(0) 是 太 的 一 个 子 空间 。 

设 mu :ww 是 开 向 量 空 间 V 中 两 两 不 同 的 元 素 , 把 以 下 形式 的 和 式 : 


Da MAEK, 1<i<n 
称 为 向 量 v; 的 线性 组 合 , 系 数 为 4;。 为 了 方便 起 见 ,/ 有 时 也 把 零 个 元 素 的 线性 组 合 
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定义 为 0。 
定义 2.4.4 设 V 是 一 个 K 向 量 空间 ,B 是 V 的 一 个 非 空 子 集 。 
(1) 我 们 称 B 是 线性 无 关 的 ,如 果 对 任何 的 nENT ,n 个 互 不 相同 的 元 素 如，… ,vw 


EB, 都 不 存在 不 全 为 0 的 入 ,…,4,EK, 使 得 A wi 一 0。 


= 
一 个 集合 ,如 果 不 是 线性 无 关 的 , 则 称 其 为 线性 相关 的 。 
(2) 我 们 称 B 是 V 的 一 个 生成 元 系 ,如 果 对 任意 的 vEV, 都 存在 nE NY ,vw ，…， 
vn EB, 以 及 和 1,… ,4, EK ,使 得 


v= 3S Ti 
mm 

(3) 我 们 称 B 是 V 的 一 组 基 , 如 果 B 是 V 的 一 个 线性 无 关 的 生成 元 系 。 

容易 看 出 ,线性 无 关 集 的 子 集 还 是 线性 无 关 的 ,任何 包含 生成 元 系 的 集合 也 是 生 
成 元 系 。 

例 2.4.2 设 K 是 一 域 ,R= 二 K[zi,…,zxs,j] 是 KK 上 的 多 变 元 多 项 式 环 , 则 R 可 以 
看 成 天 向 量 空间 VV。 其中, 数 乘 运算 就 是 常数 乘 多 项 式 的 运算 。V 中 的 线性 组 合 就 
是 多 项 式 常数 倍数 之 和 ,所 有 单项 式 ( 包 括 零 次 单项 式 ) 就 构成 了 V 的 一 组 生成 
元 系 。 

定理 2.4.2 设 V 是 一 个 K 向 量 空间 ,并 有 一 个 有 限 的 生成 元 系 C, 那 么 V 一 
定 有 个 基 BCC。 

证 明 : 令 

N={|BI|BCC, 且 B 是 V 的 有 限 生成 元 系 ; SEN 
则 NN 是 一 个 非 空 集 , 因 此 有 一 个 极 小 元 zoEN 。 假 设 B,C 是 V 的 一 个 有 限 生 成 
元 系 ,满足 | Bo| 王 xz : 则 B。 中 的 元 素 是 线性 无 关 的 ,否则 B 中 一 定 有 一 元 素 v。 可 以 
写成 B。 中 其 他 元 素 的 线性 组 合 , 这 样 Bo\ {vw} 就 成 为 一 个 更 小 的 生成 元 系 , 这 与 no 
的 最 小 性 相 巴 盾 。 因 此 B。 中 的 元 素 是 线性 无 关 的 ,从 而 是 V 的 一 组 基 。 

定理 2.4.3 设 V 是 一 个 K 向 量 空 间 , 并 假定 有 一 个 有 限 基 B. 那 么 V 中 的 每 
个 线性 无 关 集 最 多 只 有 |B| 个 元 素 . 而 且 V 的 任何 一 个 生成 元 系 都 至 少 有 |1B| 个 元 
素 , 因 此 的 每 组 基 正 好 有 |B| 个 元 素 。 

上 述 定理 中 的 向 量 空间 V 称 为 有 限 维 向 量 空 间 . 维 数 为 |B|, 记 做 dimx(V), 如 
果 V 不 是 有 限 维 的 , 则 称 它 是 无 穷 维 的 , 记 为 dimxk (V) 二 号。 

推论 2.4.1 设 V 是 一 个 有 限 维 K 向 量 空间 ,B 是 V 的 一 个 有 限 集合 , 且 |1B| 
dimxg (V) ,那么 ,B 是 线性 无 关 的 当 且 仅 当 它 是 V 的 一 个 生成 元 系 ,也 当 且 仅 当 它 是 
V 的 一 组 基 。 

定理 2.4.4 同一 域 K 上 的 两 个 同 构 的 有 限 维 向 量 空间 一 定 有 相同 的 维 数 。 

证 明 : 设 V 和 V 是 K 上 的 两 个 同 构 的 向 量 空间 ,dimxk (V) 二 n,dimk (V) 二 mm， 
并 假定 


o:V—V 
是 V 到 V' 的 一 个 同 构 。 那 么 V 有 一 组 基 , 它 由 个 向 量 e1,…,e, 给 成 。 下 面 来 证 
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明 olel),…,ole,) 在 K 上 线性 无 关 。 设 有 线性 关系 
cio(e1) 十 "… 十 co(es) 二 0,， cEK 
因 o 是 同 构 ,所 以 
GaCciel 十 … 十 cne) 一 cliaCel) 十 … 十 caCes) 一 0 
还 是 因为 o 是 一 同 构 ,o 是 一 一 映射 ,所 以 
eey os = 0 
这 就 证 明了 ol(e1),…,ole,) 在 K 上 线性 无 关 , 因 此 nn 三 mm。 同 理 ,可 证 mn。 所 以 
mm 三 nn。 
定理 2.4.5 设 V 是 域 K 上 的 一 个 n 维 向 量 空 间 , 那 么 V 一 定 和 V,(K) 同 构 。 
证 明 : 设 e1,es，… ,es 是 V 的 一 组 基 , 那 么 V 中 任 一 个 向 量 v 都 可 以 唯一 地 表示 
成 e1 ,es，… ,es 的 线性 组 合 
v= Viel 十 ves 十 … 十 nen， WE K 
从 而 vv 唯一 地 确定 了 Vs(K) 中 的 一 个 向 量 (wy ,vo，…,v,)。 反 过 来 ,v 又 由 
《oisv2，"* ,vw ) 了 唯一 确定 。 这 样 就 定义 了 一 个 从 V 到 VV,(K) 的 一 一 映射 : 
Oo: UU U2 VU, ) 
再 设 wEV, 那 么 ww 也 可 以 唯一 地 表示 成 ei ,es，,…:,e 的 线性 组 合 


w= wie wes 十 … 十 ronen 


于 是 

vw (ua 十 twi)e 十 (vz 十 wz)ez 十 十 (vi 十 wn) en 
因此 

ol(v 二 w) 《zi 十 oilyvz 十 wa gvVn 十 wr,) 二 ol(v) 十 olw) 
设 cEK, 那 么 
cev= Cc(viel 十 Vzez 十 "… 十 ven) (cul )el 十 (cus )es 十 … 十 (cv)en 

因此 

OICc。m) 一 (cul cz CU ) 一 cC(oly oz) = co (v) 
这 证 明了 是 个 同 构 。 
2.4.2 模 


前 一 小 节 讲 了 域 上 的 向 量 空间 ,这 一 小 节 将 介绍 模 的 概念 。 模 实际 上 是 向 量 空 
间 的 一 种 推广 ,可 以 看 成 是 一 种 环 上 的 向 量 空间 。 首 先 看 下 面 的 定义 。 

定义 2.4.5 设 尺 是 环 。 加 法 群 M 被 称 为 一 个 尺 模 , 是 指 对 于 一 个 称 为 数 乘 的 
运算 。: RXM mAM ,对 任意 的 a.BER 和 a ,bEM 满足 : 

(1) a° (a+b)=a*ata°b; 

(2) (ca 十 B)。a 一 aea 十 Bea3 


(3) (ap ) a=ae (Bea); 
人 一 


为 方便 起 见 ,在 不 至 于 引起 混淆 的 情况 下 ,用 ab 表示 环 中 的 乘法 运算 a ,aa 表 
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示 数 乘 运 算 ca。 

例 2.4.3 设 R 是 一 环 。 

(1) 设 IT 是 R 的 一 个 理想 , 则 了 相对 于 环 R 的 加 法 运算 和 乘法 运算 形成 一 个 RR 
模 。 特 别 地 ,R 本 身 可 以 看 成 一 个 R 模 , 零 理想 {0} 也 形成 一 个 R 模 。 

(2) 设 M 二 10} 是 一 个 平凡 的 加 法 群 ,对 任意 的 a€ER, 定 义 a*0= 二 0, 则 M 是 一 个 
(平凡 的 )R 模 。 

(3) 设 M=R" 是 R 的 一 个 有 限 直 积 。 如 果 在 M 中 定义 加 法 运算 : (as ，…,a,) 十 
(8 ppB) 一 (oo 十 Bo 十 B.) 和 数 乘 运算 : a (Ca as) , 则 M 是 一 个 R 模 , 这 个 
模 称 为 秩 为 n 的 自由 R 模 。 

(4) 每 个 环 尺 上 的 多 项 式 环 R[Xi,…,X,] 都 是 一 个 RR 模 , 如 果 定 义 数 乘 运算 为 
多 项 式 环 中 的 常数 与 多 项 式 的 乘法 。 

定义 2.4.6 设 M 是 一 R 模 ,N 是 M 的 一 加 法 子 群 。 如 果 N 在 数 乘 运算 下 是 
封闭 的 , 则 称 N 是 M 的 子 模 。 

定义 2.4.7 两 个 RR 模 M 和 M' 之 间 的 一 个 映射 4y: M -AM ,如果 对 任何 的 a， 
bEM 和 a ER 都 满足 : 

$la+t+b) = gla) $0) 
pla a)=ae° g(a) 

则 称 $ 是 一 个 R 模 同 态 映射 ,而 0 的 所 有 原 像 称 为 同 态 映射 的 核 , 记 为 ker(%) 一 
$1(0) 二 {TEMIg(z) 二 0)。 从 一 个 尺 模 M 到 自身 的 同 态 映射 称 为 M 的 自 同 态 。 

设 B 是 MM 的 一 个 子 集 , 把 包含 B 的 最 小 的 子 模 N 称 为 由 B 在 M 中 生成 的 子 
模 。 显 然 ,N 包含 了 所 有 B 中 元 素 的 线性 组 合 : 


N= > aiai |a: EE Ra: EB 
{ } 
:1 


如 果 存 在 一 个 有 限 的 集合 B 正好 生成 了 M., 则 称 M 是 有 限 生 成 的 R 模 。 如 果 一 个 
模 的 任何 一 个 子 模 都 是 有 限 生 成 的 , 则 称 其 为 诺 特 (Noether) 模 。 只 有 一 个 元 素 工 生 
成 的 模 称 为 循环 模 , 可 记 为 Rt 二 {arla€ R}。 

设 M 是 一 个 R 模 ,N 是 其 子 模 , 则 商 群 M/N 在 数 乘 运算 : 

al(a N)=at+N 

下 也 构成 一 R 模 , 称 为 M 相对 于 子 模 N 的 分 式 模 。 

定理 2.4.6( 同 态 定理 ) 设 y: M -，5M 是 一 个 模 同 态 , NCkery 是 M 的 一 个 子 
模 ,$: MM/N,$(a) 二 a 十 N 是 M 到 MI/N 的 典范 同 态 ,那么 映射 7: M/N FM ,7 
(Ca 十 N) 一 VCa) 是 良 定 义 的 , 且 是 同 态 映 射 ,满足 7*g% 一 % 而且 7 了 是 满 射 当 且 仅 当 
y 是 满 射 ,w 是 单 映射 当 且 仅 当 N= 二 kery。 

设 zEM, 定 义 ann(z) 一 {dERIdzr 一 0), 则 ann(z) 是 R 的 一 子 环 , 利 用 上 面 的 
同 态 定 理 , 容 易 证 明 

Rr  R/ann(z) 
定理 2.4.7 设 M 是 一 个 由 (61,…,b,) 生 成 的 R 模 。 那 么 映射 : 
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几 : 起 ” 一 M 
(aa an) ab 
i=1 


是 一 个 满 同 态 , 且 M 同 构 于 R"/ker($)。 

定理 2.4.8 (1) 设 M 和 M 是 R 模 ,$: M -AM 是 一 个 满 同 态 , 则 如 果 M 是 诺 
特 模 ,那么 M' 也 是 诺 特 模 。 

(2) 设 M 是 一 个 诺 特 R 模 ,N 是 其 一 子 模 , 则 N 和 M/N 也 都 是 诺 特 R 模 。 

(3) 设 M=RR" 是 诺 特 环 R 上 的 秩 为 n 的 自由 R 模 , 那 么 M 也 是 诺 特 R 模 。 

(4) 如 果 M 是 一 个 诺 特 环 上 有 限 生 成 的 R 模 , 那 么 M 一 定 是 诺 特 R 模 。 

证 明 : (1) 假设 N’ 是 M’ 的 任意 一 个 子 模 , 则 N= 二 $7!1(N') 是 M 的 一 个 子 模 , 因 
此 是 有 限 生 成 的 ,从 而 N=Y%(g CND)) 也 是 有 限 生 成 的 ,事实 上 ,N 的 生成 元 在 $ 
下 的 像 正好 生成 N'。 因 此 M 是 诺 特 模 。 

(2) 假设 N' 是 NN 的 一 个 子 模 , 则 N 也 是 M 的 子 模 , 因 此 是 有 限 生成 的 ,从 而 推 
得 N 是 诺 特 模 。 现 令 % 是 M 到 M/N 的 典范 映射 , 则 5 是 一 个 满 射 ,从 而 根据 (1)， 
MI/N 也 是 诺 特 模 。 

(3) 用 数学 归纳 法 。n 三 1 时 定理 是 显然 的 , 现 假设 nn 二 1.,R"' 是 诺 特 模 , 并 设 N 
是 R" 的 一 个 子 模 。 下 面 证明 N 是 有 限 生 成 的 。 令 + 是 下 面 的 投影 映射 : 

网: R” ES R™! 
(aa san) ais yan) 
并 令 
I= {rE€ER|(0,.%,0.r) EN 
容易 验证 xCN) 是 R"! 的 一 个 子 模 ,I 是 R 的 一 个 理想 。 因 此 根据 定理 假设 和 归纳 
假设 ,xCN) 和 了 分 别 有 限 生成 元 组 B 和 C。 设 D 是 N 中 的 一 有 限 集 使 得 x(CD) 一 已， 
并 令 
E={(0,..…,0,r)|rE€EC} 

则 EE 也 是 NN 的 子 集 。 事 实 上 DUE 就 是 N 的 一 个 生成 元 组 。 为 了 证 明 这 点 , 任 取 a 
EN, 由 于 x(a)€Ex(N), 因 此 一 定 存 在 i，…,arER 和 01,… ,brEB, 使 得 


大 
x(a) = > ai 
i=1 
根据 D 的 选取 ,又 一 定 存 在 di,… ,dED. 使 得 x(d;) 王 b;,1ik&。 取 
大 
b=a— Daid; 
i=1 


则 5EN 且 x05)==0, 因 此 5 二 (0,….0,7) 对 某 ER 成立。 容易 看 出 rE1T, 因 此 存在 
有 及, 使 得 


7 一 2 Be: 


令 e; 二 (0,…,0,ci) EE, 则 


第 2 章 ”代数 方法 与 技术 


2 
0 一 (0,…-,0,r) 一 > Be， 
i=1 
综 上 ,有 


k L k 
Q& 一 0 十 > aid， 一 D7 pes 二 Za 
i=1 i=1 i=1 


因此 DUE 是 NN 的 生成 元 组 。 
(4) 设 {b1,…,b,) 是 一 个 有 限 生 成 元 组 。 则 根据 定理 2. 4. 8, 映 射 
$: Re > M 


(Gis 50») Sh 


是 一 个 满 同 态 ,根据 定理 的 (1) 和 (3) ,结论 即 得 。 


2.5 有限 域 与 Galois 环 


在 这 一 节 将 要 介绍 有 限 域 的 一 些 基 本 性 质 。 有 限 域 作为 一 种 只 含有 有 限 多 个 元 
素 的 特殊 的 域 ,有 着 许多 其 他 域 所 没有 的 特殊 性 质 , 比 如 说 每 一 个 有 限 域 中 元 素 的 个 
数 一 定 是 某 一 素数 的 竹 , 而 且 对 任 一 素数 答 , 也 一 定 存在 相应 的 有 限 域 ;再 比如 说 , 任 
何 两 个 元 素 个 数 相 同 的 有 限 域 一 定 同 构 ,从 而 可 以 把 它们 等 同 起 来 等 。 这 一 节 首 先 
介绍 有 限 域 的 一 些 特征 性 质 , 然 后 介绍 有 限 域 中 元 素 的 迹 、 范 数 ,最 后 介绍 一 种 和 有 
限 域 非常 相像 的 环 Galois 环 。 


2.5.1 有 限 域 及 其 性 质 


在 2. 2 节 曾 经 磁 到 过 一 类 由 整数 环 中 的 剩余 类 构成 的 有 限 域 ( 例 2. 2.7), 即 对 
任 一 的 素数 p, 模 户 的 剩余 类 环 Z 王 2Z/(Cp) 形 成 一 个 含有 思 个 元 素 的 有 限 域 F,。 这 
是 一 类 非常 重要 的 有 限 域 ,因为 任何 一 个 特征 为 p 的 域 一 定 包 含 一 个 和 下 , 同 构 的 子 
域 ( 参 看 定理 2. 3.1) ,因此 可 以 看 成 是 ,的 一 个 扩 域 。 这 一 结果 正 是 有 限 域 的 分 类 
和 构造 的 基础 。 

定义 2.5.1 设 下 是 域 。 如 果 存 在 正 整 数 n 使 得 对 任何 /EF,n* f= 二 0, 但 对 任 
何 小 于 的 正 整数 n,n*。，f 关 0, 则 称 为 域 的 特征 ,否则 则 称 下 的 特征 为 0。 域 
下 的 特征 记 为 chCF) 。 

定理 2.5.1 有 限 域 的 特征 是 一 素数 。 

证 明 : 此 处 略 ,作为 练习 。 

定理 2.5.2 在 特征 为 p 的 有 限 域 中 ,(a 土 5)*” 一 ar” 士 02 。 

证 明 : 下 面 只 证 明 (a 十 b)” 二 a? 十 02 ,而 把 减 号 的 情形 留 作 习 题 .我 们 对 用 
归纳 法 证 明 。 

当 w= 二 1 时 ， 


p—1 
(Ca 十 22 一 az 十 Ey 导 和 十 吧 
k=1 
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由 于 p 是 素数 ,因此 对 于 1 三 k 二 p, (pik1Gp 一 k)!) 二 1, 所 以 p i 


o| (人 因此 (Ce 十 2)> 一 az 十 02 。 
假设 n= 二 k 时 定理 成 立 , 即 (a 十 人 )* 二 a 十 b* ,那么 当 n 二 k 十 1 时 ,有 
(a+ =a) = (ao) = (Cat)? Cb) 


AT1 k+l 
二 a? 十 b? 


定理 得 证 。 

定理 2.5.3 假设 下 是 一 个 有 限 域 ,K 为 其 子 域 。 如 果 K 有 g 个 元 素 , 则 下 有 
可 ”村 元 素 , 其 中 区 一 [F : Kj。 

证 明 : 下 可 以 看 作 K 上 的 向 量 空间 。 如 果 mm 二 [F : Kj, 则 下 存在 由 x 个 元 素 
组 成 的 基底 501,0,,…,b,, 且 下 中 的 每 一 个 元 素 都 可 唯一 地 表示 成 >aibiwa; € K， 
所 以 下 有 g” 个 元 素 。 

定理 2.5.4 假设 下 是 一 个 有 限 域 ,p 是 下 的 特征 。 则 下 有 ”个 元 素 , 其 中 了 
是 下 关于 其 素 域 的 扩张 次 数 。 

证 明 : 由 于 下 的 特征 为 p, 则 下 的 素 域 同 构 于 下 ,。 因 此 含有 个 元 素 。 由 定 
理 2. 5. 3 知 有 pp" 个 元 素 。 

定理 2.5.5 假设 下 是 具有 g 个 元 素 的 有 限 域 . 则 Ya€ 下 ,a 二 a。 

证 明 : 首先 a 二 a 对 a 二 0 成立。 下 中 所 有 非 零 元 素 组 成 一 个 g 一 1 阶 有 限 群 ,所 
以 ar! 二 1, 从 而 ar 二 a 对 所 有 we 天 0 成立 。 这 样 就 证 明了 a 二 a 对 所 有 a EF 成立。 

定理 2.5.6 如 果 下 是 有 g 个 元 素 的 有 限 域 ,K 为 一 子 域 , 则 KLxj] 中 的 多 项 式 
za? 一 过 在 下 [z] 中 可 分 解 为 : x' 一 + 二 ,er(x 一 a) 且 下 是 K 上 多 项 式 x' 一 zz 的 分 
裂 域 。 

证 明 : 我 们 知道 xz* 一 zx 在 下 中 至 多 含有 g 个 根 ,而 根据 定理 2.5.5, 下 中 的 g 个 
元 素 都 是 这 个 多 项 式 的 根 。 所 以 x* 一 x 在 下 中 是 分 裂 的 ,而 且 不 能 在 任何 更 小 的 域 
中 分 裂 。 

定理 2.5.7( 存 在 ,唯一 性 定理 ) 对 任何 素数 p 和 正 整 数 n ,存在 一 个 有 限 域 含 
有 p” 个 元 素 。 且 任何 具有 g 王 p” 个 元 素 的 有 限 域 同 构 于 zx" 一 z 在 ,上 的 分 橡 域 。 

证 明 :〈 存 在 性 ) 对 go 一 加 ,考虑 F, 上 的 多 项 式 x" 一 +。 假 设 下 是 ,上 x 一 + 的 
分 裂 域 。 我 们 知道 xz? 一 + 有 9g 个 不 同 的 根 , 令 S 是 下 中 多 项 式 x* 一 xz 的 所 有 根 组 成 
的 集合 。 则 : 

1 O05TE SS 

2) Va,bES, 因 为 (a 一 6)*= 一 ar 一 二 a 一 b, 所 以 a 一 bES; 

3) Va,bES, 由 于 (ab 1) 一 ae。0 一 a0 !, 因 此 ab "1E€S。 

综 上 所 述 , 所 以 S 为 F 的 一 子 域 。 另 一 方面 x* 一 x 在 S 中 分 裂 , 所 以 S 一 下 , 因 
此 下 具有 4g 个 元 素 。 

(唯一 性 ) 假 设 下 是 具有 go 三 祖 个 元 素 的 有 限 域 . 则 下 的 特征 为 p 且 以 Ff 为 其 子 
域 。 所 以 下 是 下 ,上 多 项 式 x" 一 xz 的 分 柳 域 。 根据 定理 2. 3.9, 多 项 式 的 分 裂 域 (在 
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同 构 意 义 下 ) 是 唯一 的 ,所 以 具有 g 个 元 素 的 有 限 域 唯一 ' 且 都 同 构 于 x? 一 x 在 fF， 上 
的 分 裂 域 。 

定理 2.5.8( 子 域 准则 ) 假设 f, 是 一 个 具有 4 三 加 个 元 素 的 有 限 域 , 则 F, 的 
每 一 个 子 域 含 有 加 个 元 素 , 且 mln。 反 之 ,对 nn 的 任 一 正 因 子 mr, 也 存在 唯一 的 F, 的 
子 域 含有 p” 个 元 素 。 

证 明 : 假设 K 是 下 , 的 子 域 。 显 然 对 某 一 mE N+ ,有 |K| 二 p"。 由 定理 2. 5. 3， 
知 g 是 |K| 的 某 一 备 次 ,所 以 (p”")" 二 pr ,因此 ml|n。 反 之 ,假设 mln,; 则 p”" 一 1|1p" 一 1， 
所 以 x 一 11x*? 下 一 1, 因 此 x 一 x|x* 一 x+。 从 而 zx” 一 z 的 分 裂 域 为 的 子 域 
且 此 子 域 含 有 p” 个 元 素 。 假 设 F 有 两 个 不 同 的 含有 p” 个 元 素 的 子 域 ,那么 这 两 
个 子 域 中 元 素 都 是 zx” 一 xz 的 根 , 因 此 这 两 个 子 域 一 定 相 同 。 

例 2.5.1 有 限 域 Fa: 的 子 域 完全 由 12 的 因子 决定 。12 有 6 个 因子 即 1、2、3、 
4、6、12, 它 们 所 对 应 的 子 域 分 别 是 Fo、Fz: 、Fzs 、 Fo 、Fzs 、 Fa 。 

定理 2.5.9 对 每 一 个 有 限 域 F, ,其 乘法 群 Fi 是 g 一 1 阶 的 循环 群 。 

证 明 : 假设 g 宇 3 且 h==g 一 1 二 px" bs pm ,其 中 三 1。 现 构造 阶 为 图 的 
元 素 b; 如 下 : 对 每 一 个 i, 多 项 式 x 一 1 最 多 只 有 hh/pi 个 根 在 FF 中 ,所 以 F 中 至 
少 有 一 个 ai; 不 是 x*%* 一 1 的 根 , 即 aiy 作 天 1. 令 太一 ai 后 , 则 已 于 一 必 一 1, 所 以 已 的 
阶 整除 和 2。 但 08 一 改作 天 1 ,所 以 访 的 阶 为 ph 。 下 面 证 明 65 二 515,…b 的 阶 为 hh。 
否则 的 话 ,5b 的 阶 至 少 为 某 一 h/p; 的 因子 。 不 妨 假设 5 的 阶 为 h/pi 的 因子 ,那么 
1 二 0 二 DI 和 bh 二 DU 所 以 pn 1h/p1。 而 这 是 不 可 能 的 ,所 以 45 的 阶 为 h。 

定义 2.5.2 Fs 中 的 生成 元 称 为 F, 的 本 原 元 。 

显然 F, 中 有 $$(g 一 1) 个 本 原 元 。 

定理 2.5.10 设 下 是 一 个 有 限 域 ,F, 是 下 , 的 一 个 有 限 扩 域 , 则 fF, 为 下 的 一 
个 单 扩张 , 且 任 一 F, 的 本 原 元 都 是 下 , 在 ,上 的 定义 元 。 

证 明 : 假设 为 F, 的 本 原 元 。 显 然 F,(6)CF,。 同 时 由 于 & 是 F, 的 本 原 元 ,所 
以 有 FCFEK6 5 因此 FF.= FF.(。 

定理 2.5.11 对 任意 的 有 限 域 F, 和 正 整 数 ., 一 定 存 在 ff, 上 的 n 次 不 可 约 多 
项 式 。 

证 明 : 根据 定理 2. 5. 7, 存 在 有 限 域 Fw。 显然 ,Fw 是 下 的 n 次 扩张 , 即 
[Fe : Fj 二 n。 根 据 定理 2. 5.10, 设 &€ For 是 Fo 的 本 原 元 ,; 则 Fo 一 F,(&), 从 而 知 & 
的 极 小 多 项 式 的 次 数 ”而 这 是 Ff, 上 的 一 个 不 可 约 多 项 式 , 因 此 定理 得 证 。 

定理 2.5.12 设 /(x)EF[zxj 是 mm 次 不 可 约 多 项 式 。 则 f(z)|zx” 一 + 舍 m|n。 

证 明 : 假设 /(z)|zx” 一 +。a 是 f(x) 在 某 一 个 分 裂 域 中 的 根 , 则 a” 二 a, 所 以 
aE Fo ,因此 F(a)CFy。 但 [F(a) : Fj 二 mw;[LFy : Fj] 二 n; 所 以 ml|n。 反 之 ,如 
果 mln,; 则 Foyr 可 以 看 作 Fy 的 子 域 。 如 果 a 是 f(z) 在 某 一 个 分 裂 域 中 的 一 个 根 , 则 
[F(a) : Fj 二 ww; 所 以 Fla) 二 Fy ,因此 aE Fw, 从 而 a” 二 a, 即 a 是 zx” 一 z 的 根 。 
所 以 fx)|z” 一 工 。 
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定理 2.5.13 设 f(z) 是 FF,[xj 中 次 数 为 m 的 不 可 约 多 项 式 , 则 FCz) 有 根 在 
Frm 中。 进一步 ,f(z) 的 所 有 根 正 好 为 Fe 中 以 下 和 za 个 元 素 : pe Wn ad 

证 明 : 假设 a 是 f(z) 在 某 一 分 裂 域 中 的 根 , 则 [F(a):F,j] 二 mmx,; 所 以 F, (a) 二 
Fr ,aE Fr。 下 面 证 明 如 果 BE Fyr 是 f(z) 的 一 个 根 , 则 Pr 也 是 f(x) 的 根 。 写 f (x) 二 
amz” 十 … 十 qz 十 ao ,a;EF,, 那 么 根据 定理 2. 5.2 和 定理 2. 5.5, 有 

f(BY) = an(BY)™ 十 … 十 aiB* 十 ao = (anB"+… 二 aiB+ao)*=0 

所 以 ww, :ao 都 是 f(x) 的 根 。 下 面 证 明 这 些 元 素 互 不 相同 。 假设 a” 一 a， 
0j=k<m—1 ,Car ) 一 (ad 2 ,所 以 We 一 ov 二 a, 从 而 Cr ei 一 元 v 
由 定理 2. 5.12, 得 mlm 一 & 十 j ,这 与 之 j 矛盾 。 

在 这 里 ,对 定理 2. 5. 13 中 出 现 的 元 素 引 入 一 个 新 的 概念 ,而 不 论 vcE Fy 是否 是 
下 , 上 某 一 mx 次 不 可 约 多 项 式 的 根 。 

定义 2.5.3 假设 Fn 是正 , 的 扩 域 ,ecE Fy, 则 asar,…,ar” 称 为 w 相对 于 F。 
的 共 斩 元 。 

定理 2.5.14 acEFy 相对 于 任 一 子 域 的 共 斩 元 在 下 上， 中 有 相同 的 阶 。 

证 明 : 因为 >-(a)|g 一 1, 且 对 任意 的 正 整 数 i, (gi,g 一 1) 二 1, 所 以 根据 定理 2. 1. 2， 
ad 的 阶 都 为 * Ca) 。 

推论 2.5.1 如 果 a 是, 的 本 原 元 , 则 a 相对 于 任 一 子 域 的 共 恩 元 也 是 本 原 元 。 

例 2.5.2 f(x) 二 x 十 xX 十 1 EFs[xjsa€E Fi , 则 a 相对 于 下 的 共 恩 元 为 wya2 ， 
a 二 a 十 1,@ 二 ?十 1。 但 a 相对 于 下, 的 共 斩 元 为 ,at 一 ac 十 1。 


2.5.2 元 素 的 迹 


定义 2.5.4 对 acEF 一 Fo ,KK 二 FF, 定义 a 的 迹 Trs/k (qa) 如 下 : 
Trax (a) = a 二 er 二 二 a 

如 果 K 是 下 的 素 域 . 则 Trs/k (a) 称 为 a 的 绝对 迹 , 记 做 Tres (a)。 

换 句 话说 ,a 相对 于 KK 的 迹 就 是 所 有 a 的 相对 于 天 的 共 恩 元 之 和 。 下 面 就 来 说 
明 TrmkCa)E 开 。 

定理 2.5.15 设 cEF 一 Fo ,KF,, 则 Tryk (a)EK。 

证 明 : 不 难 验 证 (Trsk (a))? 二 Trsk (Qa), 所 以 Trsk (a) 是 x? 一 zz 的 根 ,因此 
TFT 一下。 

定理 2.5.16 设 开 一 F,F 一 Fr , 则 迹 函 数 Trsyx 满 足 : 

1) Trgx CatpB)= Trsr (oa) Trer (BB); 

2) Trgx (ca)=cTrpk (a) ,cEK ,aEF:; 

3) Trsx 是 下 到 K 上 的 线性 变换 .这 里 把 下 和 KK 都 看 作 K 上 的 向 量 空间 ; 

4) Trgxk (a)=maaEK; 

5) Triarx (a’)= Tropk (a), VaEF, 

证 明 : 1) 和 2) 保 证 了 Trs/x 为 F 到 KK 的 一 个 线性 变换 ,因此 只 要 证 Trz/x 是 满 


的 即 可 。 首 先 证 明 3a€E 下 ,使 得 Trayg (a) 隆 0。 因为 Trgx Ca) 一 0 人 Sa 是 x 十 … 十 
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Zz" 十 Zz 的 根 , 而 该 多 项 式 最 多 只 有 dg" '! 个 根 ,F 中 却 有 ”个 元 素 , 因 此 存在 aE 下 ,使 
Trg/g (Qa) 隆 0。 假 设 56 二 Trsyxk (a) 关 0, 那 么 5EK, 且 对 任 给 的 aEK,ab-!E€EK, 因 此 
Trgxk (ab 1a) 二 (ab71)Trgg (a) 二 (ab-1)b 二 a, 所 以 Trsyk 是 下 到 K 的 一 个 满 射 。 

从 上 面 的 定理 可 知 , 如 果 把 政和 KK 都 看 作 K 上 的 向 量 空间 , 迹 映射 是 从 下 到 天 
的 一 个 线性 变换 。 从 下 面 的 定理 可 以 看 到 , 迹 映 射 不 仅仅 自己 是 一 个 线性 变换 ,而 且 
还 可 以 从 它 导 出 其 他 所 有 的 线性 变换 ,从 而 使 对 线性 变换 的 描述 可 以 不 依赖 于 基 的 
选取 。 有 时 也 把 从 下 到 K 的 线性 变换 称 为 F/K 上 的 线性 泛 函 (inear function) ,或 简 
称 下 上 的 线性 泛 函 。 玉 上 的 所 有 线性 泛 函 的 全 体 在 线性 变换 的 加 法 和 数 乘 运算 下 
也 构成 上 的 一 个 向 量 空间 ,这 个 向 量 空间 称 为 下 的 对 偶 向 量 空间 。 

定理 2.5.17 设 下 是 有 限 域 K 的 有 限 扩张 。 把 下 和 开 都 看 作 K 上 的 向 量 空 
间 , 则 天 到 K 的 所 有 线性 变换 正好 是 以 下 形式 的 映射 Lp : Lg (la) 二 Trsg (Ba) ,其 中 
BE 下 。 进 一 步 ,如 果 B 和 7 是 不 同 的 元 素 , 则 Lgp 隆 Ly。 

证 明 : 不 妨 设 K 二 F,,F 二 Fy 。 根 据 定理 2. 5.16 的 3) ,Ls 是 线性 变换 是 显然 
的 。 现 在 假设 8 天 yy。 由 于 Trsk 是 下 到 K 上 的 线性 变换 ,所 以 3a€E 下 使 得 
Trgk((B 一 7)a) 关 0, 因 此 Lp(a) 一 Ly(a) 二 Trgpyk((B 一 7)a) 关 0, 从 而 Lp 关 L,。 这 样 
{Le : BE 下 }) 共 给 出 g” 个 线性 变换 。 但 由 于 F 一 K 的 任何 一 个 线性 变换 都 可 以 由 该 
变换 作用 在 某 一 组 基 上 的 像 完 全 确定 ,而且 这 些 像 可 以 在 开 中 任意 取 值 ,因此 下 一 开 
的 线性 变换 共有 or 个 。 所 以 {Ls : BEF}) 就 是 线性 变换 的 全 体 。 

从 迹 的 定义 可 以 看 出 ,元素 的 迹 和 所 考虑 的 子 域 有 关 。 相 对 于 域 的 包含 关系 , 迹 
映射 有 下 面 的 传递 性 。 

定理 2.5.18( 传 递 性 ) 假设 K 是 一 个 有 限 域 .F 是 K 的 有 限 扩张 ,已 是 下 的 有 
限 扩 张 ,那么 Ya€ E,Trgx(a)=Trsk (Tre/r (a))。 

证 明 : 设 K=F,,[F: Kj=m,[E: Fj=n,; 则 [E: Kj=mn,F= Fy,E= Fym"。 


ml 


Po nl i ml ol 
VaEE, 我 们 有 Trsx (Tr (a)) 一 3 (Trar(a))’ 一 > ( ar” ) 一 2 az” 一 
i=0 i=0 j 一 0 i=0 j=0 


mn—1 


Par = Trg/k (a)。 


设 K=F, 是 有 限 域 ,FF 一 Fo 是 开 的 m 次 有 限 扩张 。 已 经 知道 ,F 可 以 看 成 是 K 
上 的 mm 维 向 量 空间 ,因此 一 定 存 在 一 组 基 , 而 下 中 的 任 一 元 素 都 可 以 唯一 地 表示 成 
这 组 基 的 线性 表达 式 。 下 面 要 讨论 的 问题 来 自 于 对 基 表 达 式 中 系数 的 计算 。 设 a， 
Qs，… sam 是 下 在 其 子 域 K 上 的 一 组 基 , 则 对 Ya€E 下 ,有 唯一 的 表达 式 a 二 a Co)a 十 … 十 
cn(a)an。 易 知 cj: a 一 cj Ca) 是 下 一 开 的 线形 变换 。 根 据 定理 2. 5. 17, 存 在 B; 使 得 
cj(Q) 二 Trgk (Bja)。 显 然 , 如 果 i 了 关 j ,Trs/g (aiBj;) 二 0, 否则 Trsyk (aiB;) 二 1。 进一步 ， 
Bi,…,B, 正好 也 组 成 下 在 到 上 的 一 组 基 。 因 为 如 果 卫 di8, 一 0, 则 》) diajB; = 
0 一 >)diTrek(awpBi) 二 0 过 dj 一 0,j 二 1,2,…,m。 从 而 有 以 下 定义 。 

定义 2.5.5 设 K 是 一 个 有 限 域 ,F 是 K 的 有 限 扩张 . 下 在 K 上 的 两 组 基 {ai， 
az ssam} 和 {Bi ,Bs,… ,Ba} 是 对 偶 的 (互补 的 )。 如 果 对 1 三 i,j 三 mx 有 
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上 面 的 讨论 说 明了 对 任何 给 定 的 基底 ,一 定 存在 一 对 偶 基 PB,B,,…,B,。 事 实 上 
这 一 对 偶 基 是 唯一 决定 的 ,这 是 因为 B; 是 由 c; 唯一 决定 的 。 

例 2.5.3 设 a€EFs 是 不 可 约 多 项 式 x 十 zx? 十 1 EFs[x] 的 一 个 根 , 则 {a,a? ,1 十 
a 十 ) 是 Fs 在 ,上 的 一 组 基 , 可 以 验证 由 它 决定 的 唯一 的 一 组 对 偶 基 仍 是 {a,a?， 
1 十 a 十 e*} ,这 样 的 基 叫 自 对 偶 基 。w E Fs 可 以 表示 为 二 ca 十 co@ 十 ca (1 十 a 十 ew ), 其 
中 局 =Trs, (a* as)=0,cs= Trs, (az。a5) l,cs Tr Cl aotia ja y= 所 以 
a 二 @? 十 (1 十 a 十 a?)。 

域 下 在 K 上 可 以 有 好 多 基底 ,但 有 两 类 是 人 们 比较 感 兴趣 的 。 一 种 是 多 项 式 基 
底 1,a,e?，…,a”!, 这 里 a 一 般 取 为 本 原 元 。 另 外 一 种 就 是 : 

定义 2.5.6 设 K=F,,F=Fy, 则 下 在 K 上 形 如 {a,a?,…,a”'，}(a 为 某 一 适 
当 的 元 素 ) 的 基 称 为 正规 基 。 

例 2.5.4 在 例 2. 5.3 中 ,容易 验证 a 二 1 十 a 十 a? ,因此 {a,az ,1 十 ac 十 oz2 ) 一 
{asa? ,a') 实 际 上 也 是 一 个 正规 基 。 


2.5.3 多项式 的 阶 


我 们 都 知道 ,多 项 式 的 次 数 是 多 项 式 的 一 个 非常 重要 的 指标 。 实 际 上 ,对 于 有 限 
域 上 的 非 零 多 项 式 , 还 有 另外 一 个 指标 也 非常 重要 , 那 就 是 多 项 式 的 阶 。 多 项 式 阶 的 
定义 主要 基于 以 下 事实 : 

定义 2.5.7 设 f(r)EF[zj 是 一 非 零 多 项 式 。 如 果 f(0) 隆 0, 则 定义 f(x) 的 
阶 (order) 为 满足 f(x) 1x 一 1 的 最 小 的 正 整 数 e. 并 记 做 ord(f) ;如果 Fo)= 王 0, 那 么 
一 定 可 以 写成 f(z) 二 x*。，g(x), 其 中 g(0) 关 0. 这 时 就 把 f(x) 的 阶 定义 为 g(x) 
的 阶 。 

多 项 式 f(z) 的 阶 . 有 时 也 称 为 多 项 式 f(x) 的 周期 ,并 记 做 p(f) ,或 称 为 多 项 式 
的 指数 。 

定理 2.5.19 设 f(zx)EF,[Lzxj 是 一 mm 次 不 可 约 多 项 式 ,f(0) 了 0, 则 ord( 记 等 
于 f(x) 的 任 一 根 在 乘法 群 F* 中 的 阶 。 

证 明 : 我 们 知道 Fy 是 f(z) 的 分 橡 域 .而且 f(z) 的 所 有 根 都 有 相同 阶 ( 因 为 所 
有 的 根 都 是 共 思 的 )。 设 a€E Ff 是 f(x) 的 根 , 则 由 f(x) 的 不 可 约 性 可 知 ,a 二 1 仿 
f(z) |x 一 1, 所 以 a 的 阶 就 是 f(x) 的 阶 。 

推论 2.5.2 设 f(x)EF[zxj] 是 fF, 上 的 mm 次 不 可 约 多 项 式 , 则 ord(f(x))|g" 一 1。 

证 明 : 如 果 f(z) 一 c*， xz,cEF2 , 则 ord(f(zx)) 一 1, 所 以 定理 成 立 。 不然 就 有 
ord(f(z)) 等 于 f(x) 的 根 在 FE 中 的 阶 , 所 以 应 整除 gq” 一 1。 

前 面 给 出 了 多 项 式 阶 的 定义 ,并 讨论 了 不 可 约 多 项 式 阶 的 一 些 性 质 , 但 怎样 去 求 
一 个 一 般 多 项 式 的 阶 呢 ? 由 于 任何 一 个 多 项 式 都 可 以 写成 不 可 约 多 项 式 的 乘积 。 因 
此 只 要 有 办 法 求 不 可 约 多 项 式 窜 次 的 阶 和 互 素 多 项 式 乘 积 的 阶 , 就 可 以 求 任意 多 项 
式 的 阶 。 请 看 下 面 的 定理 。 


Tra/r (aiBi) 一 { 
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引 理 2.5.1 设 c 是 一 正 整数 ,FF(z)EFLz],FGo) 天 0, 则 f(x)1zx' 一 1 当 且 仅 
当 ord(f(z))|e。 

证 明 : 二; 假设 e 一 ordCFCz)) 整 除 c, 则 f(z)|1zx 一 1 且 x 一 1|x' 一 1, 所 以 
f(x)|z—1。 

之 : 假设 f(x)|z' 一 1, 则 c 宇 e。 写 c= 二 e*，m 十 r, 其 中 ,r 都 是 整数 ,0 三 r 二 e。 
由 于 一 T(xa" 一 由 C2 一 了 Jw 二 1 时 (wy l= f= 1 
但 r<e, 所 以 只 有 > 一 0, 因 此 c==m*e, 即 elc。 

引 理 2.5.2 如 果 e 和 e: 是 正 整数 , 则 za 一 1 和 xz 一 1 在 FLz] 中 的 最 大 公 因 
子 是 x* 一 1, 其 中 d= (el ,es)。 

证 明 : 设 FCz) 是 za 一 1 和 xz 一 1 的 最 大 公 因 子 , 则 由 于 z< 一 1 是 za 一 1 和 
2 一 工 的 公 因 子 , 所 以 妈 一 1 。 另 一 方面 由 于 FFz) 是 雄一 1 和 冶 一 1 的 公 因 
子 , 据 引 理 2.5.1 知 ,ordCF)le 且 ord(CF)|es ,所 以 ord(f)|1 (eises) 二 d, 从 而 f(x)| 
ze 一 1。 综 上 有 f(x)==x* 一 1。 

定理 2.5.20 设 g€EF,[xj 是 下 ,上 的 不 可 约 多 项 式 ,f 二 g*, 其 中 6b 是 一 正 整 
数 ,g(0) 了 0。 假设 ord(g) 二 e,t 是 满足 p' 三 6b 的 最 小 正 整 数 , 其 中 p 是 下 , 的 特征 。 
那么 ord(f) 二 e， p'。 

证 明 : 设 c==ord(f)。 由 于 f(x)|x 一 1 二 g(zx)|x' 一 1, 所 以 ce 二 ord(g)|c。 另 一 
方面 ,由 于 g(x)|xz 一 1, 所 以 f(x)==g(zx) 六 (zx 一 1)*。 但 (x: 一 1)*|(zx: 一 1 )* 一 
ZY 一 1, 所 以 f(x)1z*' 一 1, 所 以 clep'。 考 虚 到 已 证 明 的 elc, 所 以 c 具有 形式 c 一 
ep" ,其 中 是 一 正 整 数 , 目 0 委 x 委 :+。 

根据 推论 2. 5.2,(e,p) 二 1, 所 以 x 一 1 的 根 都 是 单 根 ,因此 zw 一 1 二 (x 人 一 1)* 
的 根 的 重 数 都 为 p*. 但 /(z)|x*w 一 1 且 f(z) 二 g(x)* 的 根 的 重 数 都 至 少 是 5 ,所 以 
PP" 三 6, 因 此 wu 三 t, 从 而 w= 二 t, 即 < 一 cp。 

定理 2.5.21 设 g,gs，,…,gs 是 ,上 两 两 互 素 的 非 零 多 项 式 , f(z) 一 gg2*… gj， 
则 ord( 记 是 ord(g1),ord(gs),… ,ord(g4) 的 最 小 公信 和 数 。 

证 明 : 容易 看 出 ,只 要 考虑 5 (0) 天 0 的 情况 即 可 。 假 设 e 二 ord(/) ,ei 二 ord(g;)， 
i 二 1,2,"… ,ksc 一 [ei1sez，… ,erj。 由 于 giCx)|x% 一 1, 所 以 gi(x)|x 一 1, 从 而 f(zx)| 
ZX 一 1],e 二 ord( 有 lc。 另 一 方面 ,f(x)|x 一 ] 坟 g(x)|x 一 1>e; 一 ord(gi)|e, 所 以 cle。 
综 上 ,证 明了 e==c, 即 ord( 记 三 [el ,es，… ,erj」]。 定 理 得 证 。 

实际 上 用 上 述 方 法 还 可 以 证 明 有 限 个 多 项 式 的 最 小 公 倍数 的 阶 正好 是 这 些 多 项 
式 阶 的 最 小 公 倍数 。 

例 2.5.5 计算 F(z) 一 zl 十 zs 十 zs 十 z2 十 1EFs[z] 的 阶 。 

首先 f(z) 二 (zx? 十 z 十 1)? (x 十 x 十 1)。 由 于 ord(Czz 十 z 十 1) 一 3, 所 以 ord((Cz2 十 
Z 十 1)3) 一 12, 另 ord(z4 十 zx 十 1) 一 15, 所 以 ordCF) 一 [12,15] 一 60。 注 意 这 时 
60+22 一 1, 从 而 验证 了 推论 2. 5. 2 对 可 约 多 项 式 并 不 总 是 成 立 的 。 

推论 2.5.3 设 F 是 特征 为 p 的 有 限 域 ,f(x)€ Fi[Lzxj 是 一 正 次 数 多 项 式 ， 
f(0) 关 0。 设 f(z)= 二 af1%4…f& ,其 中 a€EF,,b1，… ,br 都 是 正 整数 且 f1,fs,…,fi 是 
不 同 的 首 一 不 可 约 多 项 式 , 则 ord(f) 二 ep', 其 中 e 是 ord( 据 ),…,ord(fi) 的 最 小 公 
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倍数 ,z 是 满足 p' 三 max(b,… ,bi) 的 最 小 正 整 数 。 

定义 2.5.8 设 f(r)EF,[zrj,deg(f(zx)) 二 m 宇 1。 如 果 f(x) 正好 是 Fe 的 某 
一 本 原 元 在 下 , 上 的 极 小 多 项 式 , 则 称 FCz) 是 F, 上 的 本 原 多 项 式 。 

定理 2.5.22 次 数 为 m 的 多 项 式 f(r)EF,[zxj 是 ,上 的 本 原 多 项 式 当 且 仅 当 
f(z) 是 首 一 的 ,f(0) 了 0 上 且 ord(f) 一 gq”" 一 1。 

证 明 : 如 果 f(z) 是 ,上 的 本 原 多 项 式 , 则 f(x) 是 Fg 上 的 首 一 不 可 约 多 项 式 ， 
了/(0) 关 0, 且 以 某 一 本 原 元 为 根 。 因 此 根据 定理 2. 5.19,f(x) 的 阶 等 于 f(x) 任 一 根 
的 阶 , 从 而 等 于 本 原 元 的 阶 , 即 ord(f(zx)) 二 gq” 一 1。 

反 过 来 ,假设 ord(f(z))= 二 g”" 一 1, 下 面 首先 证 明 f(z) 是 ,上 不 可 约 的 多 项 式 。 
用 反 证 法 ,假设 /(z) 是 可 约 的 , 则 或 者 f(x) 可 以 写成 不 可 约 多 项 式 的 短 或 f(z) 可 
以 写成 两 个 互 素 多 项 式 的 乘积 。 

在 第 一 种 情况 下 ,有 f(x) 二 (g(x))*, 其 中 g(x)E€ FLxj 是 不 可 约 多 项 式 ,bp 宇 2， 
g(0) 了 关 0。 由 定理 2.5.20 可 知 ord(f(x)) 一 定 可 以 被 F, 的 特征 除 尽 。 这 与 
ord(CF(Cz)) 一 om 一 1 矛盾。 

对 于 第 二 种 情况 ,有 f(x)=g1 (zx)gz (rz), (gi1(zX),gz (xX))= 二 1, 其 中 g(x)， 
g2(X)E FLzxj 是 次 数 分 别 为 mi 三 1 ,ms 三 1 的 首 一 多 项 式 。 设 el 二 ord(gi1(x)),es 二 
ord(g2z (ZX)), 则 ord(f(x)) 三 eiezs。 但 有 @1 寺 gqg™ 一 1,ez 二 gq” 一 1, 所 以 eles 声 (g™ 一 
了 Ko 天 一 下 三 一 一 AD 一 
这 与 假设 矛盾 。 

综 上 所 述 ,f(z) 是 ,上 的 不 可 约 多 项 式 , 从 而 由 定理 2.5.19 知 f(z) 的 根 的 阶 
一 定 为 ord(f(x)) 二 gq" 一 1, 所 以 是 本 原 元 .因此 f(x) 是 本 原 多 项 式 。 

注意 上 述 定理 中 的 /(0) 隆 0 只 是 为 了 排除 g 二 2,m 二 1 时 f(z) 二 xz 的 情况 。 


2.5.4 Galois 环 


关于 Galois 环 的 理论 是 由 W. Krull 于 1924 年 发 明 的 。 

定义 2.5.9 一 个 具有 单位 元 1 的 有 限 环 称 为 Galois 环 ,如果 其 所 有 零 因 子 组 
成 的 集合 添加 上 0 正好 构成 一 个 主 理想 (p，…1), 其 中 ,p 是 某 一 素数 。 

例 2.5.6 设 p 是 一 个 素数 ,s 是 一 个 正 整 数 ,那么 剩余 类 环 Zy 是 一 个 Galois 
环 。 所 有 零 因子 添加 上 0 构成 的 主 理想 为 (p)。 当 ;二 1 时 ,Zy 二 Fs 是 具有 个 元 
素 的 有 限 域 。 这 时 (如 ) 一 (0) 。 

定理 2.5.23 设 R 是 一 个 Galois 环 , 其 所 有 零 因 子 添加 上 0 构成 的 主 理想 为 
(p*，1)。 则 (p，1) 是 R 的 唯一 一 个 极 大 理想 ,R/(p，1) 是 一 个 含有 z” 个 元 素 的 有 
限 域 Fyn ,其 中 x 是 某 一 正 整 数 ,R 的 特征 是 p 的 某 一 客 次 。 

证 明 : 由 于 在 一 个 有 限 环 中 ,任何 一 个 元 素 如 果 不 是 零 因 子 , 则 一 定 是 单位 , 因 
此 (p*，1) 是 R 的 唯一 一 个 极 大 理想 。 因 此 R/(p， 1) 是 域 。 设 $5 是 R>R/(p…1) 的 
自然 同 态 ,7F 表示 rER 在 $$ 下 的 像 $(r)。 则 有 pp 1 一 p* 1 一 0, 所 以 R/(p 1) 是 


一 个 特征 为 p 的 有 限 域 。 不 妨 设 R/(p 1) 一 For ,其 中 mx 是 某 一 整数 。 
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设 & 是 环 尺 的 特征 .: 则 由 &A。 1 二 0, 可 得 &。，1 二 k&*1 一 0。 因此 p1k。 假 设 
k 二 pl ,其 中 s,l 都 是 正 整数 ,上 且 (p,1)= 二 1。 如 果 /二 1, 则 4a 二 ps，*1 和 6 二 1*，1 都 是 
非 零 元 素 , 且 ab 二 0。 从 而 1*1€(p*1),1* 1 二 1* 1 一 0ER/(p* 1D), 所 以 pll, 从 
而 与 gcd(p,1/) 二 1 牙 盾 。 因 此 k 二 pp’。 

定理 2.5.24 设 R 是 一 个 特征 为 p’ 的 Galois 环 ,单位 元 为 1, 其 中 jp 是 一 个 素 
数 。 那 么 R 的 所 有 零 因子 添加 上 0 正好 构成 理想 (p… 1),{r*，1:r€E2Zy) 是 R 的 一 
个 子 环 , 且 同 构 于 2Zy 。 

证 明 : 根据 定理 2. 5.23 可 知 R 的 所 有 零 因 子 添加 上 0 构成 的 理想 正好 为 (p，1)。 
构造 映射 : 


7: Zr 一 尺 
remem。l1 
则 容易 验证 w 是 一 个 单 映 射 , 它 的 像 是 {r* 1 : rE€ 2 )。 
设 尺 是 一 个 特征 为 p’ 的 Galois 环 。 通 常 把 rE 2Zy 和 元 素 +，1E€ER 看 成 是 一 样 
的 ,而 且 把 Zj 看 成 R 的 子 环 。 特别 地 ,pEZp 和 pp。，1ER 被 看 成 是 一 样 的 ,因此 理 
想 (p，1) 也 写成 (p)。 
定理 2.5.25 设 R 是 一 个 特征 为 p' 的 Galois 环 。 则 R/(p) 二 Fy ,其 中 因 是 
某 一 正 整 数 , 且 理 想 (p') ,0 委 i 委 一 1, 含 有 p'?" 个 元 素 ,特别 地 ,|R|=p™。 
证 明 : 根据 定理 2. 5.23 知 (p) 是 R 唯一 的 一 个 极 大 理想 ,因此 R/(p) 二 Fypn ,其 
中 mm 是 某 一 正 整 数 。 把 R 看 成 一 个 加 法 群 , 主 理想 (p’) 看 成 一 个 子 群 ,并 考虑 映射 : 
R=(F /Cp 
roep'irt+ (p™!) 
很 明显 这 是 一 个 群 的 满 同 态 , 核 包 含 (p)。 由 于 核 是 R 的 一 个 理想 ,而 且 不 含 单位 元 
1, 而 (p) 又 是 一 个 极 大 理想 ,因此 核 一 定 就 是 (p)。 根 据 群 的 同 态 基本 定理 ,有 群 的 
同 态 : 
R/CpY = CHY/OP:Y 


因此 
| R/Cp) |=| C8)/p) | 一 … 一 | p/p) | 一 | (pT) | 
又 R/LCp)S2Fam :所 以 |RLCb) 一 加 ,从 而 
| Cw) 一 | O/B || CBA) | :| Cp 


特别 地 ,有 |RI 二 1(01)|= 二 | (p= 二 p™ 
设 RR 是 一 个 特征 为 p’ 的 Galois 环 。 用 $$ 表示 RR 一 R/(p) 的 自然 同 态 映射 ,并 用 
表示 rER 在 $ 下 的 像 $(r)。 显 然 , 按 以 下 方式 可 把 8 扩展 到 多 项 式 环 上 : 
RLzj — R/(p)[Lzx] 
a 十 alr 二 "二 a 二 TT 二 上 Ba03 90an EE R) 
也 把 多 项 式 f(x) ER[Lz] 在 上 述 映 射 下 的 像 记 为 f(x)。 
定理 2.5.26 设 R 是 一 个 特征 为 p’ 的 Galois 环 .|R| 二 pw ,其 中 pp 是 一 个 素 


数 ,s 和 wm 都 是 正 整 数 。 设 f(x) 是 Zy 上 的 一 个 多 项 式 , 并 假设 f(z) 在 域 R/(p) 二 
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Fi 中 有 一 个 根 8 满足 '(B8) 关 0。 那么 R 中 一 定 存在 唯一 的 多 项 式 f (zx) 根 a€ER， 
使 得 z 一 8 。 

证 明 : 参见 文献 [2]。 

定理 2.5.27 设 R 是 一 个 特征 为 p’ 的 Galois 环 ,|R|= 二 p”, 其 中 p 是 一 个 素 
数 ,s 和 m 都 是 正 整 数 。 那 么 R 一 定 同 构 于 环 Zy [zxj/(h(z)), 其 中 hz) 是 任意 一 二 
Zp 上 的 m 次 首 一 不 可 约 多 项 式 。 

证 明 : 参见 文献 [2]。 

推论 2.5.4 任何 两 个 具有 相同 特征 和 相同 元 素 个 数 的 Galois 环 一 定 是 同 
构 的 。 

鉴于 上 述 推论 ,因此 可 以 用 符号 GR(p’,p™ ) 表 示 任 何 一 个 具有 特征 p’ 的 含有 
p” 个 元 素 的 Galois 环 。 


2.6 格 


本 节 介 绍 另 一 类 型 的 代数 结构 一 一 格 , 这 是 20 世纪 30 年 代 才 引入 的 一 个 新 概 
念 ,和 布尔 代数 有 着 重要 的 联系 。 这 里 只 限于 介绍 一 些 基本 的 知识 。 


2.6.1 定义 和 基本 性 质 


定义 2.6.1 所 谓 一 个 半 序 集 是 一 个 集合 S 以 及 该 集合 的 一 个 二 元 关系 a 宇 6 
满足 : 

(1) a 三 a( 对 称 性 ); 

(2) 如 果 a 三 b 且 0 三 ac, 则 一 2( 反 对 称 性 ); 

(3) 如 果 a 三 b 且 5 三 c, 则 a 三 c( 传 递 性 )。 

半 序 集中 的 一 个 元 素 u 称 为 S 的 子 集 A 的 一 个 上 界 , 如 果 对 任何 a€E A, 都 有 
u 宇 a。 就 说 一 个 元 素 w 是 A 的 一 个 最 小 上 界 , 如 果 w 是 A 的 一 个 上 界 , 且 对 A 的 任 
何 一 个 上 界 v, 都 有 wu 三 vw。 显然 ,最 小 上 界 如 果 存 在 的 话 一 定 是 唯一 的 。 同 样 方 式 ， 
也 可 以 定义 下 界 和 最 大 下 界 。 

定义 2.6.2 一 个 格 是 指 这 样 一 个 半 序 集 , 其 中 任何 两 个 元 素 都 有 一 个 最 小 上 
界 和 一 个 最 大 下 界 。 

显然 ,一 个 集合 对 不 同 的 偏 序 关系 可 以 构成 不 同 的 格 。 下 面 就 来 看 几 个 例子 。 

例 2.6.1 设 A 是 任意 非 空 集 合 . 则 A 的 所 有 子 集 在 集合 的 包含 关系 下 构成 一 
个 格 ,这 是 因为 任 取 两 个 子 集 Si 、S:, 则 Si 门 S; 是 S 和 Ss 的 最 大 下 界 ,S; US 是 
Si 和 Ss 的 最 小 上 界 。 

例 2.6.2 设 公 是 域 民 上 的 向 量 空间 。S 是 V 的 所 有 子 空间 作成 的 集合 , 则 S 
关于 集合 的 包含 关系 作成 一 个 偏 序 集 。 由 于 两 个 子 空 间 和 与 交 仍 是 子 空间 , 故 S 中 
任意 两 个 元 都 有 最 小 上 界 与 最 大 下 界 , 从 而 S 是 格 。 这 个 格 称 为 子 空间 格 。 

我 们 用 aV 5 表示 a 和 2 的 最 小 上 界 , 而 用 a 人 5b 表示 a 和 2 的 最 大 下 界 。 容 易 
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证 明 V 和 人 是 结合 的 ,因此 可 以 定义 mVazV…VyVas 和 aaA 人 …A 人 co 分 别 表 示 om ,…， 
an 的 最 小 上 界 和 最 大 下 界 。 

定义 2.6.3 一 个 格 称 为 完全 格 , 如 果 其 任意 子 集 的 最 小 上 界 和 最 大 下 界 都 
存在 。 

在 一 个 完全 格 工 中 :用 0 表示 整个 工 的 最 小 元 :而 用 1 表示 整个 工 的 最 大 元 , 则 
以 下 定理 给 出 了 一 个 判断 一 个 偏 序 集 是 否 是 一 个 完全 格 的 有 用 准则 。 

定理 2.6.1 ee 1 的 偏 序 集 ,如 果 每 个 非 空 子 集 都 有 一 个 最 大 
下 界 , 则 其 一 定 是 一 个 完全 格 。 同 样 地 ,一 个 具有 最 小 元 0 的 偏 序 集 ,如 果 每 个 非 空 
Lipid 则 其 一 定 也 是 一 个 完全 格 。 

证 明 : 只 证 明定 理 的 第 一 部 分 。 这 只 需 证 明 对 任何 一 个 非 空 集合 A 都 有 一 个 最 
小 上 界 即 可 。 由 于 1 是 A 的 一 个 上 界 , 因 此 A 的 所 有 上 界 的 集合 B 是 一 个 非 空 集 
合 , 从 而 根据 题 设 , 存 在 一 个 6 二 inf(B) 是 B 的 最 小 元 。 显 然 ,b 就 是 A 的 最 小 上 界 。 

例 2.6.3 设 G 是 一 个 群 , 则 G 的 所 有 子 群 在 集合 的 包含 关系 下 构成 一 个 完 
格 。 这 是 因为 G 本 身 是 一 个 子 群 ,而 且 任 意 多 个 子 群 的 交 也 是 子 群 。 

例 2.6.4 一 个 群 G 的 所 有 正规 子 群 组 成 的 集合 在 集合 的 包含 关系 下 构成 一 
完全 格 。 实 际 上 ， 人 文 组 群 中 元 素 生 成 的 子 群 。 

例 2.6.5 例 2.6.1 是 一 个 完全 格 , 其 中 1 一 A,0 一 纪 。 

定理 2.6.2 设 L 着 认 , 阐 L 中 的 任何 元 素 a、b 和 < ,二 元 运算 V 和 八 满足 : 

1)( 答 等 律 ) aV a 二 ua,aAMa=a; 

2) (交换 律 ) a 人 5 二 bpAa,aVb==bVa; 

3) (结合 律 ) (aAb)Ac=aACBAOD),(aVoVe=aV (VO; 

4) (吸收 律 ) <cA(CeVvVo) 王 aaeV(CeA 46) 二 a。 

定理 2.6.3( 对 偶 原 理 ) 设 己 是 对 任意 偏 序 集 为 真 的 一 个 命题 ,已 是 将 已 中 所 
有 的 “人 三” 和 ”和 ”交换 位 置 得 到 的 对 偶 命 题 , 则 已 对 任意 偏 序 集 也 都 为 真 。 

定理 2. 6.2 的 道 命 题 也 成 立 。 也 就 是 说 , 格 的 概念 可 以 不 用 偏 序 集 的 概念 来 定 
义 , 而 用 具有 两 个 运算 V 和 人 并 满足 1) 一 4) 这 4 条 性 质 来 定义 。 

格 工 的 一 个 子 集 M 称 为 一 个 子 格 .如果 运 算 V 和 人 在 M 中 是 封闭 的 ,显然 对 LL 
中 的 任意 两 个 固定 的 元 素 a 三 5 ,集合 S 二 {rla 夺 x5) 是 一 个 子 格 , 就 把 这 个 子 格 称 
为 区 间 ,用 ILa,6b] 表 示 。 

定义 2.6.4 设 L 和 L’ 是 两 个 格 ,L 到 LL’ 的 映射 a 一 a' 称 为 一 个 同 态 ,如 果 对 所 
的 a,b5EL, 都 有 (aV6b) 二 a Vb',(a 信 6b)’ 二 a’ 人 b5。 一 一 对 应 的 同 态 称 为 同 构 。 

定理 2.6.4 一 个 从 L 到 L’ 的 双 射 是 一 个 格 同 构 当 且 仅 当 该 双 射 及 其 逆 映 射 都 
是 保 序 的 。 


2.6.2 格 的 分 配 律 和 Dedekind 格 


定义 2.6.5 我 们 说 格 S 是 一 个 分 配 格 , 如 果 对 于 任意 的 a.6,cE S, 都 有 
aNA(bVO)=(l(aAb)V (aANoc) 
aV(OAc) 一 (aeVp)ACeVc) 
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根据 对 偶 定 理 , 显 然 上 面 两 个 分 配 律 中 只 要 一 个 成 立 , 则 另 一 个 也 成 立 。 

例 2.6.6 所 有 自然 数 关于 整除 所 做 成 的 格 是 分 配 格 。 

定理 2.6.5 任何 一 个 全 序 集 S 是 一 个 分 配 格 。 

证 明 : 设 a,65,cES, 分 成 两 种 情况 : (1) a 三 2,a 三 c; (2)a 三 5b 或 a 三 c。 对 于 (1)， 
有 aA(bVO)=bVe,(aAb)V (aAc)==bVc。 对 于 (2), 有 aAC(bVe)=a,(aAb)V 
(aAc) 二 a。 因 此 S 是 分 配 格 。 

定理 2.6.6 设 S 是 一 个 分 配 格 ,a,x,y€E 5S, 如果 a 人 x 二 a 八 y, 并 且 aVzx= 
aVy, 那 么 x 二 y。 

证 明 ; x = 二 xzV(rA a)==rV(yMN a)=(rVy A(rVa)=(rVy NANA(yVa) 

=(yVz)A(yVa)=yA(zrVa)=yAM(yVa)=y。 

利用 上 述 定理 ,可 以 很 容易 地 判定 一 个 格 不 是 分 配 格 。 

定义 2.6.6 设 格 S 有 单位 元 1 和 零 元 0。 取 a€5S, 若 存在 +E S, 使 得 a 人 x=0， 
ayVz=1, 则 称 过 是 a 的 一 个 补 元 , 记 为 a’。 

定理 2.6.7 在 有 单位 元 和 零 元 的 分 配 格 中 ,一 切 补 元 的 集合 作成 一 个 子 格 。 

由 于 许多 代数 中 重要 的 格 ,如 一 个 群 G 的 正规 子 群 格 , 都 不 是 分 配 格 , 因 此 需要 
将 分 配 律 的 条 件 减 弱 一 些 , 这 就 是 将 要 介绍 的 Dedekind 格 。 

定义 2.6.7 我 们 说 格 (S,V ,和 A) 是 一 个 Dedekind 格 ( 或 模 格 ) ,车 对 任意 的 a， 
b,cES, 只 要 ba, 就 有 

aNAN(bpVe)=bV (aANc) 
成 立 。 

定理 2.6.8 一 个 群 的 所 有 正规 子 群 构成 的 格 是 Dedekind 格 。 一 个 模 的 所 有 
子 模 构 成 的 格 也 是 Dedekind 格 。 

证 明 : 由 于 任意 两 个 正规 子 群 Hl 和 态 ; 生成 的 子 群 为 Hi1H, 一 HH, 因此 只 
要 证 明 对 任意 的 正规 子 群 Hl、H;、H; ,如 果 古 之 万 : , 则 

HH MN CH = HE MN Hy 
对 此 ,只 需 证 

Hi MN (H:H;3) C Hs (Hi NN Hs) 
即 可 。 

设 a€ 本 人 间 (HsH3); 则 a== 有 有 一 hzhs,hiEHi, 但 Hi 必 H;, 因此 hs 一 hs 1h€ 
Hi。 这 样 , hs EH 站 Hs.a 一 hsh3Ehs(Hi 门 Hs3)。 从 而 .定理 的 前 半 部 分 得 证 。 而 
对 定理 的 后 半 部 分 ,可 以 类 似 地 证 明 , 此 处 略 去 。 

定理 2.6.9 一 个 格 工 是 Dedekind 格 当 且 仅 当 : 对 任意 的 a,6,cEL, 只 要 a 二 
pp,aAc 王 DAc,aVvc= 王 0Vc: 则 必 有 < 一 0。 

证 明 : 必要 性 : 设 工 是 Dedekind 格 , 则 据 定理 的 条 件 ,a 二 a 人 (aV ce) 二 a 信 
(bVe)=bV (aAc)=bV (VAc)=b, 

充分 性 : 假设 工 是 任何 一 个 满足 定理 条 件 的 一 个 格 , 并 假设 a.b,cEL,a 宇 b。 
我 们 知道 4 和信 (5V ec) 三 bV (CaAc) ,而 且 

(aA(bV)))Ac=aA((bVe)Ac)=aA\rc 
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a NeE= uN A WV CADY A 
因此 
(bV(laAc))Ac=aAc 
上 述 两 个 关系 式 对 任何 的 格 都 成 立 。 因 此 .根据 对 偶 定理 , 当 4a 三 b 时 ,也 有 
(bVlaAc))Ve=bVe 
(aNA(bV))Ve=bVe 


所 以 
(aACBVO Ac=EV aA Ac 
(OOVCGeAc))Vec= 王 (eaeACOVc))Vec 
从 而 根据 定理 假设 ,有 
(ea 人 AGOVc)) 王 (OOVCaAc)) 
定理 得 证 。 


类 似 于 群 论 中 的 同 构 定理 ,有 以 下 定理 。 

定理 2.6.10 设 L 是 Dedekind 格 ,a.5EL, 则 映射 z+ 一 zA 人 5 是 从 区 间 I[a,aV5] 
到 区 间 ILa 5,65] 上 的 同 构 映 射 , 逆 映射 为 yyVa。 

证 明 : 首先 注意 到 映射 + 一 + 人 5b 和 yy 一 yVa 都 是 保 序 的 。 由 于 x 三 y 伟 XVy 二 
TOTAy=y;, 所 以 Vy 二 x (IVaV(yVa)=(rVy)V (aVa)=(rVy)Va= 
XVa, 因 此 xz 三 y 二 xV a 三 yV a。 同样 地 ,有 x 人 a 三 y a。 现在 如 果 a 三 x 三 a V5, 那 
么 aAb 和 +Ab 二 bp 二 (aVbAb, 而 且 如 果 aA5b 三 y 三 5, 那么 4a 二 aV (a Ab) 三 y Va 三 
aVb。 因 此 映射 zx 一 + 和 人 5b 和 映射 y 一 yV a 分别 把 ILa,a V5j 映 射 到 ICa 信 5,65j, 把 
ILaA5b.5j 映 射 到 ILa,aV5]。 由 于 这 两 个 映射 都 是 保 序 的 ,因此 只 要 能 证 明 这 两 个 
映射 是 互 逆 的 即 可 。 

设 aETLa,aV0]j, 则 x 三 a, 根 据 Dedekind 格 的 定义 ， 

(aAb)Va=zA(aVob) 
而 zaV 5, 因此 (xA5b)Va 二 +。 对 偶 地 ,可 以 证 明 , 如 果 yE TILa 人 人 65,5j, 也 有 
(yVa) Ab=y。 

下 面 介绍 关于 Dedekind 格 的 一 个 重要 定理 , 它 将 群 论 以 及 环 论 中 重要 定理 用 统 
一 的 方法 来 处 理 。 通 过 这 个 定理 .可 以 看 到 格 在 代数 中 的 作用 。 

定义 2.6.8 设 L 是 一 个 格 ,a,bEL,a<b。 如 果 上 中 不 存在 xz, 使 得 a 二 x 二 6b， 
则 说 5 覆盖 a。 

定义 2.6.9 设 工 是 一 个 有 零 元 的 Dedekind 格 ,zE 工 。 若 工 存 在 有 限 序列 一 
xzoyzly…yzz 一 0, 使 得 

0 
并 且 zi 覆盖 zitri,i 一 0,1,…,d 一 1, 则 说 上 式 是 xz 到 0 的 一 个 极 大 链 ,d 是 它 的 长 
度 。z 到 0 所 有 极 大 链 的 最 大 长 度 叫 做 z 的 维 数 , 记 做 d(x)。 

定理 2.6.11 工 是 一 个 有 零 元 的 Dedekind 格 ,xEL。 车 工 的 维 数 d(z) 有 限 ， 
则 zz 到 0 的 每 一 极 大 链 的 长 度 都 相等 。 

证 明 : 对 d(z) 用 数学 归纳 法 证 明 。 当 d(x) 二 1 时 . 则 xz 到 0 的 链 仅 有 工 二 0, 定 
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理 成 立 。 现 假设 d(x) 一 d 一 1 时 定理 成 立 ,我 们 来 看 &Cz) 一 d 的 情形 。 设 工 到 0 有 
两 个 极 大 链 : 

并 一 To 全 Ti l 僵 … 和 一 2 一 0 

工 一 yo 全 由 盖 … 和 全 一 0 
如 果 zi 二 yi1; 则 由 归纳 假定 ,s 一 1 二 d 一 1, 因 此 s 二 4d。 如 果 坟 了 关 y1, 命 zs 二 zt 信和, 则 
I[z,zij 衬 ILyi;zzj; 又 因 z 覆盖 zi ,所 以 yi 覆盖 zs。 又 I[z,yi1j 衬 TILzyzs],z 覆 
盖 v: ,所 以 zi 覆盖 = 。 由 于 dz) 一 4d: 故 dz) 一 4 一 1 根据 归纳 假设 ,zi 到 0 的 所 
有 极 大 链 的 长 度 都 相同 , 均 为 d 一 1, 从 而 x 到 0 的 极 大 链 的 长 度 均 为 &d 一 2。 再 由 
cd(z) 一 d, 以 及 经 由 xs 到 0 的 长 度 为 4 一 1, 知 dx)= 一 4 一 1。 根 据 归纳 假设 ， 
> 到 0 的 任意 极 大 链 均 有 相同 的 长 度 d 一 1. 于 是 

Ny 二 y= 二 0 

的 长 度 也 为 d 一 1。 所 以 s 二 d。 

定理 2.6.12( 维 数 定理 ) 工 是 一 个 有 有 零 元 的 Dedekind 格 ,x,y€EL。 若 d(x)、 
d(y) 均 有 限 , 则 

d(xz)+d(y)= d(x V y)+d(xz My) 
证 明 : 在 工 中 ,由 于 ILzVy,zjJ 和 了 ILy,zx 八 yj] 同 构 , 因 此 维 数 相 同 , 而 &dCILzVy,z]) 
=d(zVy)—d(zr),d(I[y,zAyj)=d(y) 一 d(zAy), 所 以 
d(rVy)—d(r)=d(y)—d(zr My) 
从 而 
d(xz)+d(y)=d(zVy)+d(z Ay) 

将 上 述 维 数 定理 用 于 由 向 量 空 间 的 所 有 子 空 间 构 成 的 格 上 ,就 可 以 得 到 熟悉 的 
关于 向 量 空间 的 维 数 定理 。 维 数 定理 是 Dedekind 格 的 一 个 重要 特征 ,也 就 是 说 上 述 
定理 的 道 命题 也 成 立 。 

定理 2.6.13 设 L 是 一 个 有 和 零 元 的 格 , 且 每 一 元 的 维 数 都 有 限 。 如 果 对 任意 的 
ZX,yEL, 有 

d(xz)+d(y)=d(zxVy)+d(zAy) 
那么 工 是 一 个 Dedekind 格 。 
证 明 : 设 4a,b,cEL,a 三 6b, 希望 证 明 
aMN(bVe)=bV (aAc) 
因为 6 三 a,6 过 5V ce, 所 以 5 过 a 人 (BVe)。 又 aAca,a 人 cc 过 5V ce, 从 而 a 人 Ac 三 
a 人 (BbV co),bV (a 人 c) 三 a 人 (bpVc)。 利 用 维 数 关系 ,有 
d(bV (aNAc))=ad(b) id(aAd—dbA aA)) 
=d(b)+d(aAc)—d(bAce) 
=d(bVO)—d()+d(laAc) 
=d(bVO)+d(a)—d(aVe) 
=d(a)+d(bV)—d(aV (bVo)) 
=d(aAM(bVo)) 
从 而 0V(eAc)= 王 waA 人 (COVc) ,因此 二 是 Dedekind 格 。 
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2.7 基本 方法 与 应 用 举例 


2.7.1 快速 指数 运算 


设 G 是 一 个 具有 乘法 运算 的 群 ,给 定 G 中 的 一 个 元 素 g (通常 g 是 固定 的 ) 和 一 
个 正 整 数 a( 通 常 a 是 变化 的 ), 求 g* 称 为 G 中 的 指数 运算 。 在 密码 应 用 中 ,G 通常 
是 一 个 有 限 群 ,因此 容易 证 明 存 在 正 整 数 n 使 得 g" 二 1。 这 样 , 取 a 模 nn 的 余数 5b 二 nn， 
则 有 g*= 二 g*。 因 此 ,总 可 以 将 指数 运算 限定 为 指数 小 于 的 情形 。 
计算 g” 的 一 个 平凡 方法 是 依次 计算 
于 一 8 88 一 8 gE = gg gg 
这 种 计算 方法 的 复杂 度 显然 是 O(n)。 当 很 大 时 (如 在 密码 应 用 中 ,nn 三 2”), 这 种 
方法 不 可 行 。 
重复 平方 一 乘 方法 (又 称 二 元 方法 ) 是 将 复杂 度 从 O(nw) 降 为 O(logzn) 的 典型 方 
法 。 设 +=[logsn 汶 不 小 于 logzn 的 正 整 数 , 即 r 是 n 的 二 进 制 长 度 。 不妨 假定 
0 三 a 二 n。 将 a 二进制 展开 得 到 
Q& 一 ar。2r 十 ai。2 一 十 … 十 ca。2 十 ao，dwE {0,1} 
依次 平方 可 得 g*,，g”,g”,…,g” ,再 将 那些 对 应 到 ww 一 1 的 8? 依次 相 乘 , 即 得 
HL -i8? 二 g2%* 一 和 9。 这 种 方法 的 计算 复杂 度 是 OC) 一 O(logsn) 次 基本 运算 (平方 
或 乘法 运算 ) 。 
上 述 运算 是 从 a 的 二 进 制 表示 的 低位 逐次 往 高 位 计算 ,也 可 以 从 高 位 逐次 往 低 
位 计算 : 由 于 a 可 以 写成 


本 三 治本 十 ao 


因此 
六 i nd 

显然 ,从 高 位 到 低位 的 计算 方法 与 从 低位 到 高 位 的 计算 方法 具有 相同 的 复杂 度 ， 
它们 具有 同样 多 的 乘法 基本 运算 (对 那些 4; 二 1 的 让 和 同样 多 的 平方 运算 (r 次)。 但 
后 者 的 平方 运算 是 针对 固定 元 素 的 ,在 可 预计 算 并 存储 g” (1 三 i 三 x) 的 计算 环境 里 ， 
这 些 平方 运算 的 计算 量 可 以 不 计 。 

重复 平方 - 乘 方 法 有 许多 变型 .包括 窗口 法 、 滑 动 窗口 法 、 带 负 号 二 进 制 法 和 
Shamir 方法 等 。 

1. 窗口 法 


r 


将 a 的 二 进 制 表 示 (aya,_1… aaco) 按 长 度 为 世 分 成 一 | 2 块 。 每 块 为 也 个 


比特 ,表示 从 0 到 2* 一 1 中 的 一 个 数 。 设 这 个 数 依次 为 56.1，… ,01 ,bo; 则 
a = br 2 二 十 DI， 2* 十 bo 


a = [ls™ )” 
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其 中 ,g” 是 g 连续 作 i 个 2* 次 升 舌 得 到 的 ,g* 可 以 通过 查阅 预先 计算 的 表 {g,g?,…， 
g*” !}) 得 到 。 车 存储 受 限 , 这 个 预计 算 表 还 可 以 只 存储 奇 指数 次 军 , 即 {g,g?,…， 
g”-!), 偶 指数 究 可 通过 相应 的 奇数 答 的 平方 得 到 。 通 常 ww 取 比 较 小 的 整数 ,如 忆 二 
3s 
2. 滑动 窗口 法 
在 窗口 法 中 ,车 有 一 些 分 块 的 起 始 比 特 为 0, 可 以 将 此 分 块 往 后 滑动 ,重新 构建 
分 块 。 例 如 , 原 分 块 为 ( 取 志 二 4) 
1101001001000111 
滑动 窗口 法 分 块 为 
110100 1001000 111 
滑动 窗口 法 有 可 能 减少 分 块 的 个 数 。 
3. 带 负 号 二 进 制 法 
对 于 某 些 群 ,如 椭圆 曲线 的 点 群 ( 详 见 定义 3. 1. 1) ,和 群 元 素 的 逆 可 能 非常 容易 求 
得 ,这 时 可 以 将 a 的 二 进 制 表 示 改 变 为 
a= Da2', a € (一 1,0,1} 
则 
= 


这 种 方法 称 为 带 负 号 二 进 制 法 。 当 i 二 2 时 ,利用 2 一 :十 2 一 十 … 十 2 十 1 一 2 一 1, 有 
(11…1)。 = (10…0 一 1)， (2.1) 
利用 这 个 关系 ,可 以 根据 a 的 二 进 制 表 示 得 到 其 他 带 负 号 二 进 制 表 示 。 例 如 : 
a= (11010111110001011101); 
从 低位 开始 ,按照 式 (2.1) 的 关系 逐步 将 连续 的 比特 1 进行 替换 ,得 到 其 带 负 号 的 二 
进 制 表 示 


a 一 (10 一 101 一 1000 一 10010 一 100 一 101)。 
容易 证 明 , 带 负 号 的 二 进 制 表示 的 长 度 最 多 比 二 进 制 长 度 大 1。 同 时 ,由 于 
(10 一 1)s 二 (11)s,(1 一 1)s 二 (01)s, 带 负 号 的 二 进 制 有 时 还 可 以 化 成 零 系 数 比 较 多 
的 情况 。 如 上 述 例 子 ， 


4 一 (11001000 一 10001100 一 101)， 


数学 上 已 经 证 明 , 长 度 为 x 的 整数 的 二 进 制 表示 中 平均 有 喜 的 系数 为 0 ,而 带 负 号 的 
二 进 制 表示 中 平均 有 忆 的 系数 为 0。 这 有 助 于 减少 指数 运算 的 乘法 操作 次 数 。 


4. Shamir 方法 

在 某 些 密码 算法 和 安全 协议 中 (如 DSA 标准 ) ,需要 计算 双 指 数 运 算 gn*, 其 中 
gh 是 群 中 两 个 固定 元 素 .,a.b 是 两 个 变化 的 整数 。 

可 以 先 分 别 计算 g* 和 有 h*, 然 后 将 它们 相 乘 得 到 g*“h* 的 结果 。 但 这 样 计算 的 复 
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杂 度 较 大 。Shamir 方法 则 直接 将 两 个 指数 运算 合并 成 一 个 运算 ,从 而 提高 计算 
速度 。 
例 2.7.1 计算 g”h” 如 下 : 


37 一 (1 0 0 1 0 1);, 
20 一 (0 1 0 1 0 0)。 
2 1 gg gh? Rh A ph™ 
过 3 gh™ 
°°h gh 

才 gh 如 


从 以 上 可 以 看 出 ,Shamir 方法 的 实质 是 将 两 个 指数 运算 g* 和 h* 中 的 分 别 平方 
运算 合并 成 一 个 平方 运算 ,同时 将 乘 以 g 再 乘 以 /的 运算 合并 成 一 次 乘 以 gh 的 运 
算 ( 预 先 算 好 gh)。 对 于 x 比特 的 整数 a 和 2, 这 样 可 以 平均 节省 个 平方 运算 和 


寺 个 乘法 运算 。 
Shamir 方法 也 有 窗口 法 、 带 负 号 系数 等 变型 版 本 。 
2.7.2 Grobner 基 


Gr6bner 基 是 奥地利 数学 家 Buchberg 于 20 世纪 60 年 代 发 明 的 ,是 符号 计算 、 
计算 机 代数 等 领域 中 的 重要 理论 与 方法 ,在 多 元 多 项 式 方程 组 求解 ,理想 成 员 判 定 等 
方面 有 着 广泛 的 应 用 。 本 节 将 简要 介绍 Gr6bner 基 理 论 与 相关 算法 。 

设 下 是 域 ,FLX),X,,…,X,j] 是 域 下 上 未 定 元 XX! ,XX:,…,X, 的 多 变 元 多 项 式 
环 。 未 定 元 Xi ,XX ,… ,XX 的 一 个 项 上 是 指 以 下 形式 的 窜 积 Xt X2 … X% ,其 中 ecEN 
,1 三 i 三 n。 特 别 地 ,定义 1 三 X3…X?。 用 TCX1 ,Xs，,，…,X,) 或 表示 所 有 项 组 成 的 
集合 。 在 工 中 ,可 以 定义 项 序 如 下 。 

定义 2.7.1 工 上 的 一 个 项 序 是 这 样 一 种 全 序 乏 ,满足 : 

1) 对 所 有 ET 工 , 有 1 和 上 成立; 

2) 如 果 所 ,和 ET, 且 站 委 所 ,那么 对 所 有 的 sET. 有 轨 委 sb。 

容易 验证 ,对 于 工 上 的 项 序 . 有 以 下 定理 。 

定理 2.7.1 设 三 是 全 上 的 一 个 项 序 , 则 

1) 任 给 s,.tET, 如 果 s1t, 则 必 有 过 上 成 立 。 

2) 设 5 和 ysz ,ts ET,sSss ,tts , 则 sissts 。 

例 2.7.2 以 下 每 个 都 是 工 的 项 序 。 

1) 字典 序 : zx …zy < 天 zzy 铝 卫 使 得 di<e :但 1<)< 时 , 必 一 e。 

2) 反 字 典 序 : zu …zt 二 x zy 傅 于 使 得 di 一 e 但 i 二 jn 时 ,dj 一 ej。 


3) 全 次 数字 典 序 ; 克 … 友 二 计 …z$ 后 Dld; 二 了 le 或 者 3ld; 一 六 ce 但 在 
字典 序 下 za zz <xza…ze。 


4) 全 次 数 反 字典 序 : 攻克 二 区 一 澡 号 了 di 二 De 或 者 Dd; 一 六 但 
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在 反 字 典 序 下 za …zrdr < 一 zz 。 

5) 分 块 序 : 把 变 元 分 成 两 组 或 多 组 , 先 比较 第 一 组 的 序 , 如 果 相 等 再 比较 第 二 
组 的 序 ,依次 类 推 。 

定理 2.7.2 设 科 是 一 项 序 ,那么 任意 一 多 项 式 FE FLX ,Xs,…，,Xo 可 以 唯一 
地 表示 为 

天 
f= Dam: 
i=1 
其 中 a;EF,m;ET, 且 mr 宝 … 广 mr。 就 称 上 述 表 达 式 中 的 mi 为 多 项 式 f 的 首 项 ， 
记 为 ETCA ,au 为 了 的 首 项 系数 , 记 为 HCC 了 有) ,而 单项 式 HM( 有 一 HC(f)*，HT() 称 
为 三 的 头 单项 式 。 
定义 2.7.2( 多 项 式 的 约 化 ) 设 三 是 一 项 序 ,f,g€EF[Xi,Xs,…,X,] 且 g 隐 0。 
如 果 存 在 +:€E T(/),sET 使 得 :二 s* HT(g), 则 称 f 是 模 g 可 约 化 的 。 这 时 , 令 
一 es org 本 
Se By “*"B 
其 中 < 是 三 关于 + 的 系数 ,并 说 /通过 模 g 消去 1 一 步 约 化 到 pp, 记 做 /一 ~p ,或 简 
记 为 了 一 2。 

设 GCFLX 一 1,…,X,j] 是 一 多 项 式 组 。 如 果 存 在 一 多 项 式 gE€G 使 得 f Pp; 
则 称 了 是 模 G 可 约 化 的 , 记 为 Ug 如 果 没 有 这 样 的 g 存在 . 则 称 f 对 G 为 已 约 
化 的 ,或 为 范式 。 显 然 ,车 f 对 G 不 是 已 约 化 的 , 则 一 定 可 以 在 有 限 步 约 化 之 后 ,得 
到 以 下 的 余 式 公 式 : 

天 一 Dus 中 六 
其 中 g;: EG,rEF[LXi,Xs,*…,X,j], 且 rr 对 G 是 已 约 化 的 , 则 称 > 为 上 模 G 的 余 式 或 
范式 , 记 为 7 一 ~-。 由 三 和 G 求 得 r 的 过 程 称 为 /对 G 的 约 化 。 

定义 2.7.3(Gr6bner 基 ) 设 GCCK[LX,Xs,.…,.X,] 是 一 多 项 式 的 有 限 集 ,0 和 
G。 如 果 在 项 序 乏 下 .对 由 G 生成 的 理想 Id(G) 中 的 任 一 多 项 式 f ,都 存在 gEG 使 
得 FTCe)1HTCAP . 则 称 G( 相 对 于 项 序 乏 ) 是 Gr6bner 基 , 也 称 G 是 理想 Td (G) 的 
Grobner 基 。 

定理 2.7.3 设 ICKLX,X:,…，,X。] 是 一 理想 ,G 是 I 的 一 非 空子 集 ,0 FG。 
则 下 列 条 件 等 价 : 

1)G 是 I 的 Gr6bner 基 ; 

2) I 中 任意 非 零 多 项 式 都 是 模 G 可 约 化 的 ; 


3) 对 任意 的 /ET, 有 /一 >0; 


4) 工 中 任意 非 零 多 项 式 都 可 写成 /一 py 的 形式 , 其 中 ,hi,hs,…,h,€ 
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F[Xi ,Xess RHTCOOD=max(HTOHTCGD i= 1,20 2}s 

5) (HT(G))=(HT(D)).。 

证 明 : 1) 二 2): 任 给 工 中 的 非 零 多 项 式 f .根据 定义 可 知 存在 g € G, 使 得 
HTCs)|IHTCP ,因此 了 是 模 G 可 约 化 的 。 

2) 一 3): 设 fET,f 模 G 的 范式 为 >", 则 根据 范式 的 定义 可 知 ~ 是 模 G 已 约 化 的 
多 项 式 。 但 根据 约 化 的 定义 又 知 ,rET, 从 而 根据 题 设 ,~ 只 能 是 0, 否则 是 模 G 可 
约 化 的 ,与 其 是 模 G 的 范式 相 了 矛盾 。 

3) 二 4) : 显然 . 

4) 之 5): 明显 有 ({HT(g)|lg€EG})CLHT(f)|1fET})。 另 一 方面 ,对 任意 的 


fET, 由 3) 可 知 fET 当 且 仅 当 f = >)hig; 和 HT(f) ==max{HT(hi;)HT(gi) |i= 
i=1 


1,2,…,t}, 于 是 HTCP) = >) 
‘{HT(g)|lg€EG}). 

5) 一 1): 由 题 意 ,对 任意 的 /ET1, 有 HT(/) 一 于 
对 某 些 h;€ K[zi,zo ,Xsj 和 gi;EG 成 立 , 因 此 必 有 HT(g;)|1HT(f) 对 某 一 g; EE 
G 成 立 , 所 以 G 是 I 的 Gr6bner 基 。 

定义 2.7.4 设 f,gEF[LXi ,Xs,,…,X,] 是 两 个 非 零 多 项 式 , 定 义 f 和 g 的 S 多 
项 式 为 


HT(h;)HT(gi), 这 表明 HT(f) € 


HTCN= HT(h) HTg;) 


spol(f,g) = HC(g) 太一 HCCP) 。 


其 中 t==lem(HT(f),HT(g))。 

定理 2.7.4 设 G 是 一 多 项 式 的 非 空 集合 ,0KFG, 则 G 是 一 Gr6bner 基 当 且 仅 
当 对 任意 的 f,g EG, 都 有 spol( fg) >0, 

算法 2.7.1(Buchberger 算法 ) 输入 : 一 个 有 限 多 项 式 集合 FCFLXi ,Xs,…， 
Kads 

输出 : 理想 I4(F) 的 Gr6bner 基 。 


begin 
GF 
Bo{{g.9}lg ,gE Gg 9} 
while BAZYG do 
从 B 中 选取 {gi ,ge 
BB\{{g ,9}} 
hspol (gi ,gq:) 
hp<-h 模 G 的 一 个 范式 
if 0 then 
BBU {{g,h}1g€ G} 
G—GU {h} 


end 
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2.7.3 Ritt- 吴 特征 列 方法 


Ritt- 吴 特征 列 方法 是 由 我 国 著名 数学 家 吴 文 俊 先 生 于 20 世纪 70 年 代 发 明 的 ， 
是 多 变 元 多 项 式 方程 组 求解 .多 变 元 多 项 式 组 零点 结构 分 析 的 重要 工具 与 算法 。 本 
节 将 简要 介绍 Ritt- 吴 特征 列 方法 基本 理论 与 算法 。 

设 天 为 一 域 ,KLzi Ld ,ZN] 是 K 上 以 TI 9，T2。” ”9 TN 为 变 元 的 所 有 多 项 式 组 成 
的 多 项 式 环 ,K(Cziza ,zxN) 是 K[zi ,xs，… ,znj 的 分 式 域 。 对 任意 多 项 式 AE 天 [zi ， 
Zz，"… ,XNj,， 用 degs,f 表示 变 元 zx; 在 多 项 式 f 中 实际 出 现 的 最 高 次 数 。 不 出 现任 何 
变 元 的 多 项 式 称 为 常数 多 项 式 。 

假设 变 元 zi ,x:,… ,xn 有 次 序 关 系 zi 二 zs 二 …<zw。 对 天 [zz ,znj 中 
任 一 多 项 式 /,f 的 类 cls( 户 是 一 非 负 整数 ,定义 为 了 中 实际 出 现 的 变 元 的 最 大 下 
标 。 如 果 /为 常数 多 项 式 , 则 定义 为 0。 

假设 f€ K[zxi ,xz ,XNjscls() 二 m 关 0, 则 可 以 写 为 

了 二 xz 十 zn 的 低 次 项 

其 中 d= degs, f ,IE kLzisxz，… ,Xm-1j。 一 般 来 说 ,I 是 工 ! ;xs，… ,xm-1 的 多 项 式 ， 
则 称 工 为 多 项 式 了 的 初 式 , 记 做 Init(f)。x 有 时 也 被 称 为 多 项 式 f 的 主 变 元 。 在 
以 后 的 讨论 中 ,多 项 式 的 初 式 有 着 特殊 的 意义 。 

设 /Ek[Lzi,zx2 sxXNj ,cls() 二 m 记 0,K[xi,xz，… ,Xnj 中 任 一 多 项 式 g 称 为 
对 已 约 化 的 多 项 式 ,如 果 deg,g 一 deg.,f。 显 然 ,多 项 式 f 的 初 式 对 了 已 约 化 。 

定理 2.7.5( 伪 除法 ) 设 /EK[zi ,zso，… ,znj 为 一 非常 数 多 项 式 , 初 式 为 了 , 则 
对 任 一 多 项 式 gE€ K[zi,zxs，…,xnj, 总 存在 非 负 整数 ;及 多 项 式 Q,RE KL[zi， 
Xs，"… ,XNj,， 使 得 

Fg = Qf+R 

且 R 对 了 已 约 化 。 

当 s 为 能 有 上 述 形式 的 最 小 非 负 整数 时 , 则 称 R 为 g 对 了 的 余 式 , 记 做 prem(g, 了)。 
从 g 得 到 R 的 过 程 称 为 g 对 了 的 约 化 。 显 然 , 任 一 非 零 多 项 式 对 其 自身 的 余 式 为 0。 
约定 任 一 多 项 式 对 一 非 零 常数 多 项 式 的 余 式 总 为 0。 

定义 2.7.5 设 AC#: 万 : 户 ,…:, 广 为 一 多 项 式 的 有 限 序列 。 我 们 称 .4 为 一 升 
列 如 果 

1) r 二 1 但 所 关 0; 或 

2) rr 这 0,0 二 cls(f1) 二 cls(f2) 二 … 过 cls(f,) 且 对 任意 的 j>i,fj 对 fi 已 约 化 。 

显然 , 升 列 的 长 度 7 总 不 大 于 N。 有 时 把 单一 非 0 常数 多 项 式 组 成 的 升 列 称 为 
矛盾 列 。 

设 广 , 户 ;…: 广 是 一 升 列 : 任 一 多 项 式 g 对 该 升 列 的 余 式 prem(g, fi,f2，…， 
广 ) 归 纳 地 定义 为 prem(prem(g;f7) ,有 刻 ;,f2,……,f:-1), 令 其 为 R, 则 有 公式 : 

本 
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其 中 ,I 是 f; 的 初 式 ;s; 为 非 负 整数 ;Qi ,…,Q, 都 是 K[zi ,zs,… ,znj 中 的 多 项 式 且 
RR 对 诸 f; 都 已 约 化 。 

上 述 公式 称 做 余 式 公 式 。 从 g 和 升 列 f1,f:,…,f, 出 发 得 到 余 式 R 的 过 程 叫 
做 g 对 升 列 f 1 ,…，,f; 的 约 化 。 

有 了 多 项 式 升 列 的 概念 ,就 可 以 进一步 引入 多 项 式 组 的 特征 列 。 首 先 看 下 面 的 
定义 。 

定义 2.7.6 设 f 和 g 是 K[zi,…,x,j] 中 的 两 个 非 0 多 项 式 , 则 称 f 比 g 有 和 较 
低 的 秩 或 g 比 f 有 较 高 的 秩 , 记 做 /<g 或 g>/。 如 果 : 

1) els(CP 站 一 clsCg) 或 

2) cls(f/)=cls(g)=p0, 且 degz,f ~ degz:, 8 。 

当 两 多 项 式 上 和 8g 不 能 比较 秩 的 高 低 时 , 则 称 f 和 g 有 相同 的 秩 , 记 做 /一 8。 

显然 ,对 任 一 多 项 式 的 非 空 集合 , 按 秩 的 高 低 , 总 存在 一 极 小 元 素 , 即 秩 不 高 于 其 
他 任何 多 项 式 的 多 项 式 。 

定义 2.7.7 设 AC#: 万 ,…, 广 ;5: g1,"…,g; 为 两 多 项 式 升 列 , 则 称 A 比 5 有 
较 高 的 秩 或 58 比 4 有 和 较 低 的 秩 , 记 做 45 或 5 一 A, 如 果 : 

1) 存在 j 二 min(r,s) ,使 得 g 一 户 ，…, 广 - 一 5 ， 方 二 5 或 

2 上 太一 而 5 

在 两 个 升 列 4 和 不 能 比较 秩 的 高 低 时 , 则 称 其 有 相同 的 秩 , 记 做 A~ 6。 

显然 , 升 列 对 秩 的 高 低 来 说 构成 一 部 分 次 序 , 因 此 ,对 一 个 升 列 的 集合 ,可 以 引入 
极 小 升 列 的 概念 , 即 集 合 中 秩 不 高 于 其 他 任何 升 列 的 升 列 。 

定理 2.7.6 设 4,.4,…:4.… 是 一 升 列 的 非 增 秩序 列 , 则 一 定 存在 9 使 得 
已 ,4+… 都 具有 相同 的 秩 。 

从 上 述 定理 出 发 , 则 有 以 下 推论 。 

推论 2.7.1 对 任 一 升 列 的 非 空 集合 ,一 定 有 极 小 升 列 存在 。 

一 个 升 列 A 称 为 属于 多 项 式 集合 PS 的 ,如 果 4A 中 每 一 多 项 式 都 是 PS 中 的 多 
项 式 。 由 于 任 一 非 零 多 项 式 都 单独 构成 一 升 列 , 因 此 属于 非 空 多 项 式 集合 PS 的 升 
列 一 定 存在 , 故 属于 PS 的 升 列 构成 一 非 空 集合 。 由 推论 2.7.1, 从 而 一 定 有 极 小 升 
列 。 任 一 这 样 的 极 小 升 列 ,都 称 为 PS 的 一 个 基 列 。 

综 上 所 述 , 则 有 以 下 推论 。 

推论 2.7.2 设 PS 为 一 多 项 式 的 非 空 集合 , 则 PS 必 有 基 列 存在 。 

对 于 多 项 式 集合 的 基 列 , 则 有 以 下 定理 。 

定理 2.7.7 设 PS 为 一 多 项 式 的 非 空 集合 ,A 为 其 一 基 列 。 假 设 g 是 一 对 A 已 
约 化 的 非 0 多 项 式 , 则 PSU {g} 的 基 列 比 A4 必 有 和 较 低 的 秩 。 
设 PS 为 一 多 项 式 的 非 空 集合 .结合 定理 2.7.6 和 定理 2.7.7 考察 以 下 步骤 : 


PS1=PS PS,= PS, U RS PS, = PS。 U RS. 
BS BS, “" BS, 
RS， RS, RS, 


其 中 BS; 为 PS; 的 基 列 ,RS; 是 PS; 中 多 项 式 对 BS; 的 所 有 非 0 余 式 组 成 的 集合 。 
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根据 定理 2.7.7, 可 知 BS1 ,BS, ,… 是 一 升 列 的 非 增 秩序 列 , 故 一 定 存在 一 正 整数 m 
使 得 BS ~BSna 一 BS 一 … ,这 时 将 有 RS,=RS,+1 二 … 二 多, 也 就 是 说 Fs 中 的 
任 一 多 项 式 都 将 被 BS 约 化 成 0。 

综 上 所 述 , 则 有 以 下 定理 。 

定理 2.7.8 设 PS 为 一 多 项 式 的 非 空 集合 ,有 一 机 械 化 算法 可 在 有 限 步 内 求 得 
一 升 列 CS: 有 i,f。，…，,f; 使 得 f;:€E Ideal(PS) 且 对 任 一 多 项 式 f€ PS.prem(f,CS) 一 0。 

上 述 定 理 中 的 CS 叫做 多 项 式 集合 PS 的 特征 列 。 从 PS 出 发 求 特征 列 CS 的 步 
又 叫做 多 项 式 组 PS 的 整 序 。 整 序 是 吴 方 法 中 的 一 个 重要 算法 , 它 把 一 堆 杂 乱 无 章 
的 多 项 式 整 理 成 了 一 组 具有 良好 性 质 的 多 项 式 , 为 进一步 研究 多 项 式 组 的 性 质 及 其 
零点 结构 提供 了 强 有 力 的 条 件 。 

设 巨 是 K 的 一 个 扩 域 。 用 Zero(CS) 表 示 S 中 的 多 项 式 在 已 上 的 公共 零点 组 成 
的 集合 , 即 

Zero(S) = {(aiy san) E EN | h(a ax) 一 0VA ES} 

假设 G 是 另 一 多 项 式 集合 ,Zero(S/G) 二 Zero(S)Zero(G) ,表示 是 S 的 但 不 是 G 的 
所 有 零点 所 组 成 的 集合 。 对 于 单一 多 项 式 Q,Zero(S/{Q})) 有 了 时 也 写 为 Zero(S/Q)。 

定理 2.7.9( 整 序 原理 ) 设 PS 为 一 多 项 式 的 非 空 集合 ,CS 是 PS 的 一 特征 
列 , 则 

Zero(CS/J) C ZeroCPS) C Zero(CS) 
Zero(PS)C# = Zero(CS/J) Ui;Zero(PS U {1;}) 

其 中 ,I; 是 CS 中 多 项 式 的 初 式 ;J 为 所 有 了 ; 的 乘积 。 

显然 , 当 所 求 得 的 特征 列 CS 为 一 矛盾 列 时 ,就 有 ZeroCPS) 王 Zero(CS) 一 弓 。 
这 说 明 PS 中 的 多 项 式 没 有 公共 的 零点 。 在 上 述 定理 中 ,如 果 对 诸 Zero(PSU {1;)) 
继续 进行 分 解 , 可 得 以 下 定理 。 

定理 2.7. 10( 零 点 分 解 定 理 ) 对 任 一 非 空 多 项 式 集合 PS 有 分 解 : 

Zero(PS) = U Zero(ASC/J:) 


其 中 ,ASC, 是 升 列 ;J 为 ASC 中 多 项 式 的 初 式 的 乘积 。 更 一 般 地 ,对 任 一 多 项 式 
G, 有 : 
Zero( PS/G) = \) Zero(ASC. /JiGn) 


其 中 Gs 是 G 对 ASC 的 余 式 上 且 Gi 关 0。 | 
在 上 述 定 理 中 ,对 某 一 ASCi, 若 Gi 一 0, 显 然 有 Zero(ASCi/JiG4) 一 名 是 一 空 分 支 ， 
因此 可 以 去 掉 。 


2.7.4 有 限 域 上 的 离散 对 数 


离散 对 数 问 题 被 认为 是 一 个 “ 难 ” 问 题 ,而 被 广泛 用 于 设计 密码 学 原子 构件 
(Cryptographic primitive)。 例 如 .整数 的 模 指 数 运算 是 密码 学 中 常用 的 一 种 单 向 函 
数 : 模 指数 运算 就 是 要 计算 表达 式 ar mod n 的 值 : 而 这 是 很 容易 的 。 但 模 指 数 运算 
的 逆 问 题 , 即 给 定 正 整数 xc 和 0: 求解 工 使 得 az mod n, 却 是 求解 一 个 整数 的 离散 
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对 数 , 是 一 个 困难 问题 。 目 前 密码 设计 者 对 两 种 离散 对 数 问题 很 感 兴 趣 ,一 种 是 有 限 
域 乘法 群 中 的 离散 对 数 问题 . 另 一 种 是 有 限 域 上 椭圆 曲线 上 的 离散 对 数 问 题 。 正 是 
由 于 许多 密码 算法 和 协议 的 安全 性 基于 离散 对 数 问 题 ,因此 对 离散 对 数 问 题 的 研究 
受到 了 广泛 重视 。 在 这 一 章 将 介绍 有 限 域 上 的 离散 对 数 问 题 以 及 一 些 著 名 的 求解 离 
散 对 数 的 计算 算法 。 当 然 , 应 该 知道 的 是 ,目前 还 没有 求解 一 般 离散 对 数 问题 的 有 效 
方法 。 

首先 给 出 有 限 域 上 离散 对 数 问题 的 定义 。 我 们 知道 ,有 限 域 的 乘法 群 一定 是 循 
环 群 ,所 谓 有 限 域 上 的 离散 对 数 问题 实际 上 就 是 有 限 域 乘法 群 中 的 离散 对 数 问题 , 具 
体 来 说 有 以 下 定义 。 

定义 2.7.8 设 F 是 一 具有 g 个 元 素 的 有 限 域 ,g 是 下 , 的 一 个 本 原 元 。 有 限 域 
F, 中 的 离散 对 数 问题 是 指 : 给 定 F, 中 的 一 个 非 零 元 素 h ,求解 正 整数 :使 得 

h= gg 

则 把 zt 叫做 h( 相 对 于 本 原 元 g) 的 离散 对 数 , 记 做 1 二 logs (h)。 有 时 人 们 也 把 hh 的 离 
散 对 数 称 为 h 的 指数 。 

由 于 阶 相同 的 循环 群 一 定 是 同 构 的 ,很 难 理解 为 什么 离散 对 数 问 题 在 有 些 循环 
群 中 是 困难 的 ,而 在 另外 一 些 循环 群 中 却 是 容易 的 。 一 般 认 为 ,离散 对 数 的 困难 性 来 
自 于 群 的 表示 方法 ,循环 群 表示 方法 的 不 同 才 导致 了 其 中 的 离散 对 数 问题 的 难 易 程 
度 不 同 ,也 就 是 说 某 些 循环 群 的 表示 方法 隐藏 了 循环 群 的 结构 ,从 而 提高 了 其 中 的 离 
散 对 数 问 题 求 解 的 困难 性 。 有 限 域 的 乘法 群 被 认为 很 好 地 隐藏 了 循环 群 的 结构 。 有 
限 域 中 的 离散 对 数 问题 作为 一 种 难处 理 的 问题 ,被 广泛 应 用 于 密 钥 体制 和 安全 协议 
的 设计 中 。 

例如 ,在 许多 计算 机 系统 中 ,用户 口令 都 被 存在 一 个 特殊 的 文件 中 ,一 旦 一 个 人 
获得 了 阅读 这 个 特殊 文件 的 权限 .他 就 可 以 冒充 任何 一 个 合法 用 户 使 用 计算 机 。 因 
此 ,这 个 特殊 文件 受到 系统 的 特别 保护 。 但 事实 上 .如 果 并 不 直接 存储 用 户口 令 本 
身 , 可 以 避免 对 这 个 特殊 文件 进行 保密 。 一 种 不 直接 存储 用 户口 令 的 方法 就 是 使 用 
单 向 函数 , 即 这 样 一 种 函数 f, 对 给 定 的 xz. 很 容易 计算 y= 二 f(x) :但 对 给 定 的 >, 计算 
工 使 得 FCz) 一 > 却 是 困难 的 。 取 代 直 接 存 储 用 户口 令 的 文件 ,我 们 产生 一 个 文件 包 
含 数组 (i,f(p;)), 其 中 i 表示 用 户 登 录 时 的 用 户 名 ,p; 表示 该 用 户 的 口令 。 这 个 文 
件 可 以 公开 。 该 方案 的 安全 性 依赖 于 单 向 函数 f 求 道 的 困难 性 。 早 期 ,这 种 单 向 函 
数 选用 的 就 是 离散 求索 运算 , 即 在 一 个 有 限 域 F, 中 取 一 个 本 原 元 g 并 公开 ,对 任意 
一 个 整数 z, 定 义 
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任何 一 个 想 冒 充 用 户 i 登录 计算 机 系统 的 人 必须 从 g* 找 出 p;, 而 这 相当 于 求解 有 限 
域 F, 中 的 离散 对 数 问 题 。 

又 例如 ,在 密码 学 中 ,密码 算法 的 安全 性 通常 被 设计 成 仅仅 依赖 于 密 钥 的 保密 
性 ,因此 密 钥 的 分 发 与 管理 是 密码 学 中 的 重要 问题 。 通 常 在 网 络 通信 中 为 了 保证 会 
话 密 钥 的 安全 性 ,要求 每 一 次 通信 (会 话 ) 所 使 用 的 会 话 密 钥 都 不 相同 ,因此 如 何在 每 
一 次 会 话 之 前 将 新 的 会 话 密 钥 传递 给 通信 的 对 方 是 一 个 比较 复杂 的 问题 。 密 钥 交换 
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协议 就 是 在 通信 双方 或 多 方 间 协 商 密 钥 以 进行 保密 通信 的 过 程 , 使 得 参与 通信 的 各 
方 可 以 获得 相同 的 密 钥 ,但 任何 其 他 人 都 不 能 获得 该 密 钥 。 

例 2.7.3(Diffie-Hellman 密 钥 交换 协议 ) 设 A 和 B 两 个 用 户 想 协 商 一 个 用 于 
保密 通信 的 会 话 密 钥 。 整 个 过 程 可 进行 如 下 : 首先 用 户 A 或 B 选 定 一 个 素数 p 和 
有 限 域 F， 中 的 一 个 本 原 元 g 并 公开 。 然 后 : 

(1) A 随机 选择 一 个 整数 0 二 x 三 p 一 2, 计 算 X 二 g” 并 发 送 给 B; 

(2) B 随机 选择 一 个 整数 0 三 y 三 p 一 2, 计 算 Y==g? 并 发 送 给 A; 

(3) A 计算 密 钥 一 Y ， 

(4) B 计 算 密 钥 开 一 Xy。 

至 此 ,用 户 A 和 B 得 到 了 一 个 共同 的 密 钥 gs? 。 第 三 者 即使 知道 了 g*” 和 g?, 也 
不 能 够 计算 得 到 这 个 会 话 密 钥 ,除非 攻击 者 能 够 计算 FF, 中 的 离散 对 数 问题 来 得 到 工 
和 > ,因此 当 FF, 中 的 离散 对 数 问题 是 困难 的 时 ,该 协议 是 安全 的 (注意 这 句 话 并 不 是 
严密 的 )。 需 要 注意 的 是 ,p 和 g 的 选取 对 于 该 协议 的 安全 性 有 着 根本 的 影响 ,一 个 
必要 的 条 件 是 p 应 该 选取 得 足够 大 。 

事实 上 ,在 例 2.7.3 中 ,第 三 者 要 想 求 出 A 和 B 共同 协商 得 到 的 密 钥 KK ,并 不 一 
定 需要 解决 离散 对 数 问题 ,只 要 他 有 办 法 从 g” 和 g? 求 得 g 即 可 。 从 g” 和 g?” 出 发 
求 g2 的 问题 称 为 计算 性 Diffie-Hellman 问题 。 请 看 下 面 的 定义 。 

定义 2.7.9 设 F 是 一 具有 g 个 元 素 的 有 限 域 ,g 是 下, 的 一 个 本 原 元 。 有 限 域 
F 中 的 : 

1) 计算 性 Diffie-Hellman 问题 (CDH) 是 指 : 给 定 了 本 原 元 的 两 个 次 宕 8g" 和 8 
(注意 这 里 的 a 和 4 并 不 被 计算 者 所 知道 ) ,求解 g**; 

2) 判定 性 Diffie-Hellman 问题 (DDH) 是 指 : 在 给 定 了 本 原 元 的 3 个 次 寡 g"、 
gg? 和 gg ,判定 g% 一 & 是 否 成 立 ; 

3) 间隙 性 Diffie-Hellman 问题 (Gap-DH) 是 指 : 在 假定 具有 解决 判定 性 Diffie- 
Hellman 问题 的 有 效 方法 的 情况 下 ,求解 计算 性 Diffie-Hellman 问题 。 

很 明显 ,如 果 在 某 一 特定 的 有 限 域 F, 中 ,判定 性 Diffie-Hellman 问题 是 困难 的 
话 ,那么 F, 中 的 计算 性 Diffie-Hellman 问题 和 离散 对 数 问题 也 都 是 困难 的 。 除 了 间 
际 性 Diffie-Hellman 问题 外 ,计算 性 Diffie-Hellman 问题 和 判定 性 Diffie-Hellman 问 
题 的 困难 性 都 已 得 到 公认 ,而 间隙 性 Diffie-Hellman 问题 是 2001 年 才 被 正式 提出 
来 的 。 

例 2.7.4(ElGamal 公 钥 密码 系统 ) 设 p 是 一 个 素数 使 得 有 限 域 Z, 中 离散 对 
数 问题 的 求解 是 困难 的 :wxE2Q; 是 Zs 的 一 个 本 原 元 。 秘 密 选 取 一 个 a 作为 秘密 密 
钥 保存 起 来 ,计算 6 一 a* ,并 将 p、a.B 公开 。 

当 对 一 个 消息 zE 2Z2 进行 加 密 时 ,首先 (秘密 ) 随 机 选取 有 EZi ,然后 计算 yi 二 a 
mod p,yz 二 xB* mod p, 并 将 (yi ,y ) 作 为 密 文 。 解 密 时 ,只 需 计 算 zx 一 % (%) 1! mod p 
即 可 。 

在 EIGamal 公 钥 密码 系统 中 ,明文 x 通过 乘 上 B* 而 被 掩盖 起 来 得 到 y, ,a* 也 被 
作为 密 文 传输 。 一 个 人 如 果 知 道 秘密 密 钥 < :他 就 可 以 从 只 计算 出 8*, 从 而 可 以 从 
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加 


yz 中 将 掩饰 去 掉 而 得 到 明文 +。 这 个 系统 的 安全 性 依赖 于 离散 对 数 问题 的 困难 性 ， 
如 果 能 够 计算 8 的 离散 对 数 , 当 然 可 以 获得 秘密 密 钥 a, 从 而 可 以 恢复 出 明文 x。 


2.7.5 ”线性 移 位 寄存 器 序列 


一 个 n 级 线性 移 位 寄存 器 有 nn 个 寄存 器 和 一 个 反馈 开关 电路 组 成 ,如 图 2. 1 所 
示 , 从 右 到 左 分 别称 为 第 1 级 寄存 器 、 第 2 级 寄存 器 、…… ` 第 nn 级 寄存 器 。 每 个 寄存 
器 的 状态 分 别 用 0 和 1 表示 ,而 0 和 1 总 可 看 成 是 有 限 域 ,中 的 元 素 。 当 加 上 一 个 
移 位 脉冲 时 ,每 级 寄存 器 的 内 容 就 移 给 下 一 级 ,最 末 一 级 的 内 容 就 是 输出 。 为 了 保持 
连续 工作 ,将 移 位 寄存 器 中 的 某 些 级 的 内 容 在 FF: 中 相 加 之 后 ,反馈 到 第 1 级 去 。 例 
如 , 当 第 一 级 的 内 容 为 a,-1, 第 2 级 的 内 容 为 a,-2，…… :第 nn 级 的 内 容 为 ao 给 定 后 ， 
可 令 

Un 二 C1Q 一 1 十 Caanz 十 ne ry do 


第 级 i | -_ 


gg 


2.1 n 级 线性 移 位 寄存 器 


馈 到 第 1 级 去 ,其 中 ccz, :cs 都 是 下 中 的 元 素 。 这 样 ,加 上 一 个 移 位 脉冲 后 ， 
第 1 级 的 内 容 变 成 


an 一 3 
第 2 级 的 内 容 变 成 a,_1,…, 第 nn 级 的 内 容 变 为 il, 而 输出 为 a。。 于 是 , 当 线 性 移 位 
寄存 器 的 n 个 初始 值 ao,al,…,a,-1 给 定之 后 ,不 断 地 加 移 位 脉冲 ,n 级 线性 移 位 寄 
存 器 就 会 输出 一 序列 
do sa1 42 
满足 线性 递 推 闫 系 ( 或 反馈 逻辑 ) 
= po 或 pe 三 吊 k 汪 nn 2 
这 个 序列 就 称 为 (n 级 ) 线 性 移 位 寄存 器 序列 或 线性 递归 序列 。 上 述 序 列 之 所 以 称 为 
线性 的 ,是 因为 它 的 递 推 关 系 式 (2.2), 即 它 的 反馈 逻辑 是 线性 的 。n 级 线性 移 位 寄 
存 器 序列 中 任何 连续 个 项 都 叫做 该 序列 的 一 个 状态 ,而 形 如 : 
(akry arH at)，R 二 0 《和 3 
的 状态 称 为 第 个 状态 , 记 为 s 。 状 态 so 称 为 序列 的 初始 状态 。 
显然 ,n 级 线性 移 位 寄存 器 序列 由 它 的 初始 状态 Cao ,al ，,…,as-1) 和 它 的 反馈 逻 
辑 完全 决定 。 当 c, 二 0, 即 第 级 寄存 器 的 内 容 不 参加 反馈 时 ,就 称 这 个 n 级 线性 移 
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位 寄存 器 是 退化 的 ;否则 , 称 为 非 退 化 的 。 非 退化 的 线性 移 位 寄存 器 产生 的 序列 称 为 
非 退 化 的 线性 移 位 寄存 器 序列 。 从 线性 移 位 寄存 器 的 反馈 逻辑 构造 的 如 下 多 项 式 


f(z)=x" i 3 F000 = 1+ De 

分 别称 为 n 级 线性 移 位 寄存 器 的 特征 多 项 式 和 联接 多 项 Ss 而 把 满足 递 推 关系 式 (2. 
的 nn 级 线性 移 位 寄存 器 序列 称 为 由 f(x) 产生 的 (二 元 )n 级 线性 移 位 寄存 器 序列 或 
以 了 (zx) 为 联接 多 项 式 的 n 级 线性 移 位 寄存 器 序列 ,简称 由 f(x) 产生 的 序列 。 
用 符号 G( 户 表示 由 f(x) 产生 的 所 有 序列 的 全 体 组 成 的 集合 。 显 然 ,G( 放 ) 非 空 , 因 
为 以 0 状态 为 初始 状态 的 全 0 序列 就 在 GC 让 中 。 

一 个 线性 移 位 寄存 器 由 它 的 特征 多 项 式 , 或 者 联接 多 项 式 和 它 的 级 数 一 起 完全 
确定 ,而 且 特 征 多 项 式 和 联接 多 项 式 为 互 反 多 项 式 。 


定理 2.7.11 设 f(x)==x" 十 >. "那么 由 f(z) 产生 的 序列 的 总 数 是 2”， 
即 |GCF)| 一 2"。 一 步 ， Gd 可 以 看 成 是 二 元 域 Ff, 上 的 n 维 向 量 空间 。 
ee pd pnt 


期 不 大 于 2" 一 1。 
证 明 : 假设 一 个 非 退 化 的 n 级 线性 移 位 寄存 器 的 特征 多 项 式 为 f(x) = 二 x" 十 


Par ,a 二 (ao saraz was，"…) 是 由 该 线性 移 位 寄存 器 生成 的 一 个 序列 ,那么 ,天 0 且 


Wim 0 (2. 4) 
i=1 

现在 考察 序列 a 的 状态 s,(k 三 0) ,它们 都 是 一 些 F, 上 的 nn 维 行 向 量 。 注 意 到 
FF 上 不 同 的 nn 维 行 向 量 最 多 只 有 2" 个 ,因此 一 定 存 在 0 三 r 二 ;三 2" ,使 得 一 %。 由 
于 序列 的 状态 和 线性 递 推 关 系 完 全 决定 了 从 该 状态 开始 之 后 序列 的 所 有 元 素 , 所 以 
对 任 给 的 三 r,s44,-, 三 54。 令 /三 ;一 r,ko 是 最 小 的 非 负 整数 使 得 对 任 给 的 有三 k。， 
se+H 一 s 我们 来 证 &o 三 0。 

假设 Ae 三 1, 则 根据 式 (2. 4) ， 


Skto+m 一 1+L 一 > CH 
pt 


但 c, 关 0, 因 此 6c 二 1, 所 以 


-i 一 So 二 一 + 一 58 Skotaltii —— Skotnl 十 3 十 m 一 1 一 (2.5) 
另 一 方面 ,根据 式 (2. 4)， 可 以 直接 得 到 


Sko—itn 一 SS CiS ko—ltni 
再 次 注意 到 c, 一 1, 则 有 


nl 
Des = (2.6) 
i=1 


比较 式 (2.5) 和 式 (2.6) 知 $60-1 王 sh-itie 这 与 如 的 选取 相 矛 盾 。 所 以 如 一 0, 即 对 


Sko 一 1 一 Skote—l 


到 
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所 有 三 0,s4+1 一 ss:。 所 以 a 是 周期 序列 。 
当 级 线性 移 位 寄存 器 序列 的 周期 达到 最 大 值 2" 一 1 时 ,就 叫做 最 长 二 元 n 级 


线性 移 位 寄存 器 序列 ,简称 为 m 序列 。m 序列 是 一 类 很 重要 的 序列 ,将 在 后 面 讨论 。 
容易 看 到 ,如果 a 是 周期 为 的 周期 序列 ,那么 a 显然 满足 线性 递 推 关 系 式 
aktH 十 ak 一 0，R& 二 0 


因此 ,周期 序列 一 定 是 线性 移 位 寄存 器 序列 ,其 特征 多 项 式 为 
xz! 十] 


更 进一步 , 则 有 


定理 2.7. 13 


设 < 是 下 上 的 一 个 周期 序列 ,h(x)、g(x) 是 FF, 上 的 两 个 多 项 
式 。 如 果 a€EG(h) 且 a€EG(g), 则 a€EG(h 土 g)。 


证 明 : 设 
a 一 (aoyalyaz，…) 


h(xz) 一 Sa 
i=0 

g(7z) 一 Sg 
i=0 


其 中 bo 了 关 0,do 关 0。 那 么 
Drax 二 briani 十 "十 Doarn 0 玉宇 nn 
don dens 0,， k 宇 m 


d nak 二 


Mn 
Mm 


“= bu = 0, 


取 M 二 max(m,n), 并 令 
… 一 dv 一 0， 


brn = bntz 一 。 


dm = dmtz = * 
k 宇 M 


于 是 有 
(ou tdmart Cbmittdui a (bu +t dm)arm 一 0， 
由 这 个 递 推 关系 确定 的 多 项 式 为 
M 
2 itd)r’ = hr) + g(r) 


所 以 
a€EG(h+g) 
定理 2.7.14 设 a 是 Ff, 上 的 一 个 周期 序列 ,g(x) 是 F, 上 的 一 个 多 项 式 。 如 果 
aEGlg), 则 对 ,上 的 任何 多 项 式 h(zx), 一 定 有 a€EG(lg*， 有)。 


证 明 : 
a = (adosaisas»***) 


g(x) 一 Dar™ 
i=0 


hr = pe 
i=0 


由 定理 假设 知 
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coat 十 cia 十 "… 十 cnatn 二 0， 上 k 宇 nn 


do 一 coydi 一 cid = cd 一 0 
那么 
doar 十 da 十 … 十 da 十 da 一 0， 开 过 1 十 1 
这 个 递 推 关 系 式 所 确定 的 多 项 式 为 


Can 天 
Dy dn a > cizr = zg (zx) 
因此 aEG(lrg(z))。 从 而 利用 数学 归纳 法 可 以 证 明 对 任何 的 i,a€EG(lzxig (zx))。 所 
以 根据 定理 2. 7. 13， 
a €E G(O) br ig(r))) 一 GCCz) > oz = Glg (rh(r)) 


定理 2.7.15 设 a 是 Ff, 上 的 一 个 周期 序列 ,那么 存在 着 fF, 上 的 一 个 多 项 式 
f(z) 具 有 性 质 : a€EG() 且 aEGOlh(x)) 当 且 仅 当 (x)|h(x)。 更 进一步 ,适合 上 述 性 
质 的 多 项 式 f(x) 是 唯一 确定 的 ,而 且 如 果 a 是非 0 周期 序列 ,那么 deg(f(x)) 三 1。 

证 明 : 令 S={t(z)la€EG(t(x))}, 则 S 是 一 个 非 空 集合 ,这 是 因为 如 果 a 的 周 
期 是 1,x! 十 1 一 定 在 S 中 。 由 定理 2.7. 13 和 定理 2.7.14 知 S 是 下 [xj 中 的 一 个 理 
想 ,因此 根据 定理 2.2.5,S 是 一 主 理想 。 设 f(x) 是 S 的 一 个 生成 元 , 则 h(x)€5 仿 
fT)1h(Cz) ,因此 aEGCACGz)) 全 FGz)1ACz)。 进 一 步 ,如 果 a 还 是 非 零 序列 , 则 非 零 
常数 多 项 式 不 在 S 中 ,从 而 deg(CFCz)) 三 1。 定 理 得 证 。 

定义 2.7.10 设 a 是 ,上 的 一 个 周期 序列 ,那么 根据 定理 2.7. 15 ,存在 F: 上 
唯一 的 首 一 多 项 式 f(x) 使 得 a€EG(h(zr)) 当 上 且 仅 当 f(x)1h(zx)。 这 个 多 项 式 f(x) 
称 做 a 的 极 小 多 项 式 。 

定理 2.7.16 任 给 下 ,上 一 个 多 项 式 f(x), 则 必 有 FF 上 的 一 个 周期 序列 存在 ， 
它 以 f(z) 为 极 小 多 项 式 。 

证 明 : 考察 GC) 中 由 初始 状态 (0,0，,…,0,1) 产 生 的 序列 a。 显然 a 了 0。 假设 a 的 


极 小 多 项 式 是 (zr) 了 关 f(z), 则 有 有 Cr)|f(z), 所 以 deg(h(z)) 二 deg(f(x))。 这样 a 将 
是 Gn) 中 从 0 状态 得 到 的 序列 ,因而 是 0 序列。 这 与 a 关 0 矛盾 ,所 以 a 是 以 f(x) 
为 极 小 多 项 式 的 序列 。 

定理 2.7.17 设 f(z) 是 Ff, 上 的 一 个 次 数 大 于 1 的 多 项 式 , 那 么 以 f(z) 为 极 小 
多 项 式 的 线性 移 位 寄存 器 序列 的 周期 就 等 于 f(z) 的 周期 。 

证 明 : 设 a 是 一 以 f(x) 为 极 小 多 项 式 的 线性 移 位 寄存 器 序列 ,周期 为 ,那么 
aEG(z 一 1)。 因 f(z) 是 a 的 极 小 多 项 式 , 所 以 f(z)1(z 一 1),p(f)1v。 另 一 方面 ， 
根据 多 项 式 周期 的 定义 :有 f(x) I(x? 一 1),. 所 以 a€EG(z?7 一 1),v1p(f)。 因 此 
== pF Ye 

推论 2.7.3 设 f(z) 是 fF, 上 的 nn 次 多项式, 则 一 个 非 0 序列 a€EG(f) 是 nn 级 
m 序列 当 且 仅 当 f(x) 是 nn 次 本 原 多 项 式 。 

证 明 : 充分 性 : 设 f(x) 是 本 原 多 项 式 , 则 其 周期 为 2 一 1。 根 据 定理 2. 7. 19， 
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a 的 周期 为 2" 一 1, 因 而 是 mx 序列。 

必要 性 : 如 果 a 是 n 级 m 序列 , 则 4a 的 周期 为 2 一 1, 所 以 G( 了 有) 中 的 每 一 非 0 序 
列 都 以 a 的 某 一 状态 为 初始 状态 ,因而 其 周期 必 为 2" 一 1。 下 面 首先 证 明 f(x) 是 不 
可 约 多 项 式 。 假 设 f(z) 可 约 ,h(z) 是 它 的 一 个 不 可 约 因 子 ,deg(h(z)) 二 =k 二 n, 则 
PO) 夺 2* 一 1 二 2" 一 1, 因 此 G(h) 中 的 非 0 序列 的 周期 为 p04) 二 2" 一 1。 但 由 h(x)| 
ff( 知 ,G(R)CGC( 有 7), 即 G(h) 中 的 序列 也 在 GC(f) 中 ,因此 Gh) 中 的 非 0 序列 的 周 
期 也 应 为 2 一 1。 这 与 p(h) 二 2" 一 1 矛盾。 所 以 f(z) 是 不 可 约 的 。 从 而 f(x) 的 周 
期 应 为 2" 一 1, 所 以 是 本 原 多 项 式 。 

上 面 讨论 了 怎样 用 线性 移 位 寄存 器 来 产生 周期 尽 可 能 大 ,证 明了 在 所 有 不 同 的 
n 级 线性 移 位 寄存 器 中 ,以 次 本 原 多 项 式 为 特征 多 项 式 的 线性 移 位 寄存 器 产生 的 
序列 是 nn 级 x 序列 ,其 周期 最 长 。 下 面 将 讨论 ,对 于 给 定 的 一 个 有 限 域 F, 上 的 有 限 
序列 ,如 何 构造 阶 数 尽 可 能 小 的 线性 移 位 寄存 器 来 产生 它 。 这 个 问题 称 为 序列 的 综 
合 问题 。 我 们 把 能 够 产生 一 个 给 定 序列 的 阶 数 最 小 的 线性 移 位 寄存 器 的 阶 数 称 为 这 
个 序列 的 线性 复杂 度 。 

设 N 是 一 个 正 整 数 ,a 六? 二 aoa1… an-1 是 有 限 域 f 上 的 一 个 长 度 为 N 的 序列 ， 
Jfn(z) 是 一 个 能 产生 am 且 阶 数 最 小 的 线性 移 位 寄存 器 的 联接 多 项 式 ,v 是 该 线性 
移 位 寄存 器 的 阶 数 。 我 们 称 二 元 组 (fw (xz),ln) 为 aY 的 线性 综合 解 。 应 当 指 出 ， 
deg(fn(X)) 三 ly, 这 是 因为 产生 a 且 阶 数 最 小 的 线性 移 位 寄存 器 可 能 是 退化 的 ， 
这 时 有 deg(CAv(Cz)) 一 v。 另 外 ,约定 0 阶 线性 移 位 寄存 器 的 联接 多 项 式 为 FCz) 一 1, 且 
长 度 为 的 本 序 有 000 “0 由 0 阶 的 线性 移 位 寄存 器 产生 。 


已 知 序 列 ec 一 aoal… an-1, 求 产生 a 六 并且 阶 数 最 小 的 线性 移 位 寄存 器 就 是 
求 a 疏 的 线性 综合 解 。 这 一 节 将 要 介绍 的 求 序列 的 线性 综合 解 的 Berlekamp- 
Massey 算法 是 一 个 迭代 算法 。 这 个 算法 是 J. L. Massey 建议 的 ,他 指出 这 个 算法 就 
是 E. R. Berlekamp 给 出 的 译 BCH 码 时 从 校 验 子 求 找 错位 多 项 式 的 算法 。 这 个 算 
法 使 用 数学 归纳 法 去 求 一 系列 的 线性 移 位 寄存 器 

Cf Cy m= ls 

使 得 每 一 个 (f(z),l,) 都 是 a 的 前 n 项 组 成 的 序列 的 线性 综合 解 。 算 法 的 具体 描 
述 如 下 。 

算法 2.7.2(Berlekamp-Massey 算法 ) 

(1) 设 no 是 一 个 非 负 整数 ,满足 


ao Q1 Qn 0 an 0 
则 取 
do di d= 0 ds Cam 
并 法 
fa) Fn) ny fa Cx) ' 
A se 


同时 可 以 取 任 意 一 个 no 十 1 级 的 线性 移 位 寄存 器 作为 (f+1Cz) ,ls+1), 但 为 了 确定 
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起 见 , 令 
了 二 二 ， lh 一 no 下 
(2) 假设 (fi(zx) ,Li) ,1 二 i 二 n 二 NN 已 经 求 得 。 而 
3 ln, < Za 三 Lnt1 过 
fay = 
并 计算 
dr nt 
如 果 d, 二 0, 则 取 
frn zr) = fx), ln =/, 
如 果 d, 隆 0, 这 时 一 定 存在 1 三 mm 一 n, 使 
ln ln = lm = = lL, 
取 
天 NG) 
ln 一 max{l zz 十 1 一 [。》 
例 2.7.5 求 周 期 为 8 的 序列 a 二 00101101 的 线性 综合 解 。 在 这 里 wo 一 0， 
ai 一 0,az 一 1,as 一 0,a4 一 1,as 一 1,ae 一 0,a7y 一 1。 
首先 xz 一 2, 因 此 
do=di=0, d=1 
fi(z)= f(z)=1, f(z)=1—z’ 
0 一 /一 0，L 一 3 
计算 ds 二 as 一 ao 二 0 十 0 二 0, 因 此 取 
f(z)= fs (x)=1—7’ 
4=ls=3 
计算 d= 二 a4 一 a 二 1 一 0 二 1 关 0, 这 时 ls 过 ls 二 4 ,因此 m==2， 
fs(z) = fz)— ddiir 2 rs(z) 一 1 一 3 一 并 
一 1 工 十 zz 十 Za 
ls = max{l ,4 十 1 一 0)} 一 3 
计算 ds = 一 as 十 as 十 as 一 1 十 0 十 1 一 0, 因 此 
Fe(Cz) 一 .PCz) 一 1 十 Z2 十 2 
le 一 /5 一 3 
计算 de 二 a 十 a4 十 a 二 0 十 1 十 0 二 1 闫 0, 这 时 2 一 0 一 4 一 45 ,因此 mm 一 2， 
fia) = folrx)— dd zx f(r) = 1+72:+2—xt 
二 1 十 x 十 zx? 十 xz 
7 一 max{ls:7 一 /6} 一 4 
计算 dj 二 ay 十 as 十 十 as 二 1 十 1 十 1 十 0 二 1 关 0, 这 时 46 二 Ly ;因此 mx==6， 
far) = fr(zr)— didr xr sz) 一 1 十 z2 十 zs 十 zi 一 1 十 zz 十 zs) 
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二 1 十 zx 十 zx? 
ls = max{l1,8—/1}=4 
所 以 a'% 二 00101101 的 线性 综合 解 为 (1 十 x 十 zx? ,4)。 


2.8 和 注 记 


本 章 较 为 全 面 地 介绍 了 信息 安全 中 所 用 到 的 一 些 代数 学 基础 知识 ,但 由 于 篇 幅 
限制 ,相关 的 介绍 还 相当 简略 。 有 关 代 数学 较为 详尽 的 知识 ,读者 可 参看 文献 [2]、 
[7]j 和 [8], 有 关 有 限 域 和 线性 移 位 寄存器 序列 较为 详尽 的 内 容 可 参看 文献 [1]、`[3]、 
[4] 和 [9], 有 关 Gr6bner 基 的 理论 ,读者 可 查看 文献 L5] 和 [10], 关 于 Ritt- 吴 特征 列 
方法 ,读者 可 参看 文献 [6] 。 
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椭圆 曲线 应 用 于 密码 学 开始 于 Koblitz 和 Miller。 这 两 位 学 者 几乎 同时 提出 了 
椭圆 曲线 密码 体制 的 概念 。 椭 圆 曲 线 密码 体制 的 安全 性 基于 椭圆 曲线 的 Mordell- 
Weil 群 上 离散 对 数 的 计算 困难 性 。 

椭圆 曲线 密码 体制 有 许多 优点 。 首 先是 密 钥 短 , 密 钥 长 度 为 106 比特 的 椭圆 曲 
线 密码 体制 的 安全 强度 相当 于 密 钥 长 度 为 512 比特 的 RSA 密码 体制 的 安全 强度 ;其 
次 是 计算 速度 快 ,密码 学 中 所 用 的 椭圆 曲线 是 定义 在 有 限 域 上 的 代数 曲线 ,因此 它 有 
代数 和 几何 两 方面 的 性 质 。 在 椭圆 曲线 上 ,点 的 逆 元 素 容 易 计 算 , 同 时 椭圆 曲线 上 的 
加 法 群 有 模 结构 ,因此 可 供 选 择 的 算法 就 比较 多 ,计算 速度 也 比较 快 ;还 有 就 是 定义 
在 同一 个 有 限 域 上 的 椭圆 曲线 有 许多 条 ,因此 需 更 换 密码 体制 时 只 要 更 换 一 条 定义 
在 同一 个 有 限 域 上 的 椭圆 曲线 ,从 而 有 限 域 的 算法 还 可 以 继续 使 用 。 所 以 与 基于 有 
限 域 上 离散 对 数 问 题 的 密码 体制 相 比 ,椭圆 曲线 密码 体制 中 涉及 有 限 域 算 法 的 芯 
可 以 重复 使 用 ,也 就 是 说 通用 性 比较 好 。 

由 于 以 上 这 些 特点 ,椭圆 曲线 密码 体制 特别 适合 于 应 用 到 计算 资源 有 限 的 环境 
中 。 另 外 ,椭圆 曲线 上 可 以 定义 双 线 性 对 (Weil 对 和 Tate 对 , 称 之 为 “对 子 ”) ,对 子 
把 椭圆 曲线 上 离散 对 数 问 题 转化 为 有 限 域 上 离散 对 数 问题 .这 种 优秀 的 密码 学 性 质 ， 
被 用 来 构造 新 型 的 密码 体制 。 

本 章 主要 围绕 椭圆 曲线 在 信息 安全 中 的 应 用 .将 介绍 椭圆 曲线 的 一 些 基 本 概念 
和 基本 原理 。 最 后 ,作为 这 些 椭 圆 曲 线 理论 的 应 用 ,还 将 介绍 一 些 典 型 的 密码 体制 。 


3.1 基本 概念 


本 节 重 点 介绍 一 些 椭圆 曲线 的 基本 概念 。 
3.1.1 椭圆 曲线 的 定义 


设 KK 是 一 个 域 ( 为 了 便于 理解 .不 妨 把 K 看 成 实数 域 尺 ,但 是 在 密码 学 应 用 中 ， 
K 一 般 是 有 限 域 ) 。 从 平面 解析 几何 的 角度 来 说 ,定义 在 K 上 的 椭圆 曲线 下 是 一 条 
由 Weierstrass 方程 

y 十 aizy 十 asy 一 z3 十 azzz 十 az 十 ae，w EK.i=1,2,3,4,6 (3.1) 

定义 的 非 奇 异 ( 即 处 处 光滑 ,或 者 不 严格 地 说 自己 和 自己 没有 交点 ) 的 3 次 曲线 ,再 
“人 为 地 ”添加 一 个 无 穷 远 点 (用 中 表示 ) 所 得 到 的 曲线 , 记 为 E/K。 有 时 说 起 由 方 
程 (3.1) 定 义 的 椭圆 曲线 时 ,并 不 特意 指出 包含 无 穷 远 点 ,但 都 默认 它 自 然 包 含 了 一 
个 无 穷 远 点 。 

由 此 可 见 , 椭 圆 曲 线 E/K 是 K XK 平面 上 由 方程 (3.1) 的 全 体 解 构成 的 图 形 。 
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设 LDK 是 K 的 扩 域 ,方程 (3.1) 在 LXL 平面 上 的 解 称 为 椭圆 曲线 EE 的 L 有 
理 点 。E 的 全 体 L 有 理 点 记 为 E(L)。 根据 椭圆 曲线 的 定义 ,无 穷 远 点 必须 包含 在 
五 ( 工 ) 内 : 

E(L)= {(x;33) E LXL| yarry 十 cay 
一 zs 十 azz2z 十 as 并 十 as) U {0} 
例 3.1.1 两 条 椭圆 曲线 如 图 3. 1 所 示 。 


(a) J2=x3—x (b) 32=x3+1 


3.1 两 条 椭圆 曲线 


设 已 是 一 条 由 Weierstrass 方程 (3.1) 定 义 的 曲线 , 则 可 以 定义 以 下 参数 : 
bs: = a? + 4a, 


bb = 2a4 十 alas 


be = ai + 4das 

bs = afae + 4azae — aiasa4 十 azag 一 aq 
ci 一 太一 2404 

点 bibs 一 804 一 2708 + 9b2 bs be 
j(E) = ci/A 


其 中 A 称 为 这 个 Weierstrass 方程 的 判别 式 。 如 果 A 了 关 0, 则 j(E) 有 定义 , 称 为 这 个 
方程 的 j 不 变量 。 判 别 式 和 j 不 变量 是 椭圆 曲线 的 重要 参数 。 
定理 3.1.1 由 方程 (3.1) 定 义 的 曲线 是 一 条 非 奇 异 曲 线 的 充分 必要 条 件 是 A 了 0。 
证 明 : 把 方程 (3.1) 写 成 形 如 F(z,y) 二 0 的 隐 函 数 形式 。 根 据 多 元 微 积 分 中 的 
EC 一 
定理 可 知 , 由 下 (Cz,y) 一 0 直线 当 有 公 当 广 |G 0 
Fayi=0 
有 解 ;用 A 的 定义 直接 验证 可 得 定理 。 
定理 3.1.2 定义 在 开 上 的 两 条 椭圆 曲线 已 / 开 和 Es/K 同 构 . 则 JE ) 一 7CE2); 
如 果 K 是 一 个 代数 封闭 域 , 则 由 j(E1) 二 j(Es) 也 可 以 得 到 EE1/K 入;/K 同 构 。 
这 里 同 构 的 意思 是 两 条 曲线 之 间 的 方程 可 以 通过 一 个 有 理 变换 互相 转化 ,而 且 
这 个 有 理 变换 把 无 穷 远 点 变 到 无 穷 远 点 。 


信息 安全 中 的 数学 方法 与 技术 


例 3.1.2 因为 判别 式 A 二 0, 所 以 由 图 3. 2 所 示 的 两 条 曲线 是 奇异 曲线 ,因而 不 
是 椭圆 曲线 : 


(a) 2=x3(y 曲 线 ) {b) 22=w3tx2(0 曲线 ) 
3.2 两 条 奇异 曲线 
椭圆 曲线 的 Weierstrass 方程 在 形式 上 是 复杂 的 ,但 总 可 以 通过 坐标 变换 把 它 变 


成 相对 比较 简单 的 形式 ,这 是 一 个 标准 过 程 , 请 参考 文献 [4]。 
(1) char(K) 隆 2,3, 则 EE/K 的 方程 可 以 化 成 以 下 形式 : 


E:y =x ?+artb abEK 《3. 2) 
(2) char( 开 ) 一 2, 则 E/K 的 方程 可 以 化 成 以 下 两 种 形式 : 
© j(E)A¥0,E: y+zry=x tasritae assae EK 4 
@ j(E)=0,E: y+asy=Zzx’+aztas assassae EK (93.4) 
(3) char(K) 二 3, 则 E/K 的 方程 可 以 化 成 以 下 两 种 形式 : 
QD jE)A0,E: 光一 z3 十 asz2 十 ae aas EK C5 
©® j(E)=0,E: y=zx’+aszrtae asas EK (3.6) 


3.1.2 椭圆 曲线 上 的 Mordell-Weil 群 


椭圆 曲线 上 的 点 在 “ 弦 切 律 * 下 构成 一 个 群 。 

定义 3.1.1 椭圆 曲线 上 点 的 加 法 ( 弦 切 律 ) ”如 图 3.3(a)、(b) 所 示 , 设 P.QE 
E,l 是 过 已 .Q 两 点 的 直线 (如 果 PP 二 Q, 则 取 为 过 P 点 的 切线 ), 则 由 于 椭圆 曲线 是 
一 条 3 次 曲线 ,因此 2 必 和 巨 相交 于 第 三 点 尽 。 令 2 为 过 尺 和 无 穷 远 点 的 直线 ( 即 过 
R 且 与 x 轴 垂 直 的 直线 ), 则 Y' 与 E 的 第 三 个 交点 即 为 P 与 Q 的 “和 ?” 记 为 P 十 Q。 


(a) P+O (b) 2P=P+P (e) -P 
3.3 实数 域 上 椭圆 曲线 弦 切 律 的 几何 表示 
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习 


忆 点 的 逆 一 P 即 为 过 P 上 且 与 x 轴 垂 直 的 直线 与 曲线 的 交点 ,如 图 3.3(c) 所 示 。 

图 3. 3 所 示 为 实数 域 上 椭圆 曲线 的 弦 切 律 的 几何 表示 ,如 果 要 考虑 其 他 域 上 的 
椭圆 曲线 的 弦 切 律 ,也 可 以 甚至 必须 借助 这 些 图 形 思考 问题 。 

由 于 在 平面 解析 几何 的 范围 内 考虑 椭圆 曲线 问题 ,因此 无 穷 远 点 在 上 面 的 图 中 
表示 不 出 来 ,但 理解 加 法 时 要 默认 它 是 存在 的 。 比 如 在 定义 中 垂直 于 zz 轴 的 直线 《4” 
和 曲线 的 交点 在 图 中 只 显示 出 有 两 个 ,但 是 理论 上 3 次 曲线 和 直线 的 交点 应 该 有 
3 个 ,那么 第 三 个 点 就 是 在 无 穷 远 点 。 这 从 另外 一 个 方面 说 明 , 在 定义 椭圆 曲线 时 
“人 为 ”引入 的 那个 无 穷 远 点 是 实际 存在 的 ,在 引入 射影 几何 后 ,这 个 无 穷 远 点 就 自然 
出 现 了 。 

还 有 一 点 需要 注意 的 是 ,如 果 E/K 是 一 条 定义 在 K 上 的 椭圆 曲线 ,L 是 天 的 扩 
域 ,P.Q 是 EF 的 L- 有 理 点 , 则 过 PQ 的 直线 和 EF 的 第 三 个 交点 一 定 是 E 的 L 有理 
点 。 这 是 因为 直线 和 曲线 的 联 立方 程 组 的 系数 都 取 自 域 荆 ,而 方程 组 有 3 个 解 , 其 中 
两 个 解 就 是 已 和 Q, 那 么 第 三 个 解 一 定 是 L- 有 理 点 。 

定理 3.1.3 设 E/K 是 一 条 定义 在 域 K 上 的 椭圆 曲线 ,L 汪 K 是 的 扩 域 , 则 
EE 的 全 体 有 理 点 E(L) 在 弦 切 律 下 构成 一 个 交换 群 ,其 中 单位 元 就 是 无 穷 远 点 , 即 用 
弦 切 律 定义 的 加 法 符合 以 下 规律 : 

(1) 结合 律 ”(P 十 Q) 十 R=P 二 (QR), VP,Q,REE(L); 

(2) 存在 零 元 素 P 十 co 一 co 十 P,VPEE(CL); 

(3) 存在 闭 元 素 P+ 十 (一 P)= 二 (一 P) 十 P,YVPEE(L); 

(4) 交换 律 ”P 十 Q=Q 十 Q, VP,QEE(L)。 

定理 的 证 明 除 第 一 条 结合 律 外 都 是 平凡 的 。 利 用 代数 几何 理论 给 出 的 结合 律 的 
证 明 可 以 在 文献 L4] 中 找到 ;也 可 以 通过 弦 切 律 的 定义 直接 进行 验证 ,但 是 那样 的 话 
计算 量 会 比较 大 ,而 且 需 要 有 了 耐心 才 可 以 ;Knapp 在 文献 L3] 中 给 出 了 一 个 只 利用 初 
等 解析 几何 和 线性 代数 的 证 明 . 有 兴趣 的 读者 可 以 参考 。 

需要 指出 的 是 .以 上 用 弦 切 律 定 义 的 群 被 称 为 Mordell-Weil 群 。 其 实 发 现 这 是 
个 群 结构 的 时 间 比 Mordell 和 Weil 要 早 ,可 以 追溯 到 Poincare 甚至 Abel。 这 个 群 
之 所 以 被 称 为 Mordell-Weil 群 , 是 因为 Mordell 最 早 给 出 了 有 理 数 域 上 椭圆 曲线 
Mordell-Weil 群 的 有 限 生 成 定理 ,而 Weil 推广 了 他 的 结果 。 

对 于 密码 学 工作 者 来 说 ,工作 的 域 一 般 是 有 限 域 ,在 某 些 情况 下 也 会 涉及 一 些 
广 adic 域 和 复数 域 。 有限 域 上 椭圆 曲线 和 p-adic 域 上 椭圆 曲线 没有 直观 的 图 示 , 复 
数 域 上 椭圆 曲线 的 图 形 是 个 三 维 空间 中 的 环 面 。 在 这 些 情况 下 思考 问题 会 缺乏 直观 
的 感觉 ,此 时 最 好 借用 实数 域 上 椭圆 曲线 的 图 形 来 支持 我 们 的 直觉 。 

点 加 的 表达 式 : 设 玉 是 由 方程 (3.1) 定 义 的 一 条 椭圆 曲线 , 则 由 弦 切 律 定义 的 加 
法 的 表达 式 可 以 通过 平面 解析 几何 中 求 曲 线 和 直线 的 交点 的 方法 推导 出 来 。 这 个 推 
导 的 工作 量 不 大 ,难度 也 小 ,把 详细 推导 过 程 留 给 读者 ,这 里 只 是 把 结果 列 出 来 。 

(1) 道 元 素 : P==(z,y) EE, 则 一 P==(z, 一 y 一 a1z 一 a3)。 

(2) 加 法 : 记 P= 二 Pi 十 P; ,其 中 P; 二 (zxi,yi) ,i 二 1,2,3。 

了 也 : , 即 z=zxz yyytarit+as=0, 则 已 十 已 一 co。 
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2) 若 Pi 关 一 Pi, 令 
,es /| 
2 一 1 


3zi 十 2azzl 十 as 一 ai 
2y 十 azl 十 as 


则 Ps 的 坐标 由 下 式 给 出 : 
位 AM2 十 ai 一 az — Zr Xs 


ys Alx1 Ta) i QI1Z3 da. 

如 果 采 取 曲 线 方程 的 简化 形式 (3.6), 则 以 上 加 法 的 表达 式 有 更 简单 的 形式 ,这 
在 实践 中 有 重要 的 作用 。 

例 3.1.3 椭圆 曲线 万: 光一 zs 十 az 十 OOERK,char(K) 天 2,3) 上 点 加 的 表 
达 式 。 

(1) 逆 元 素 : 设 P=(zx,y), 则 一 P=(z, 一 y)。 

(2) 一 般 加 法 : 设 P，= 二 Pi 十 P;, 其 中 Pi 二 (xi,yi) ,i 二 1,2,3。 

1) 若 P， P: , 即 zi 一 ze,y 一 一 yy, 则 Pi 十 Ps 二 oo。 

2) 若 P 天 一 P: , 令 


Mest 

WE — 

3xz? 十 a 
2y1 


Ti 天 Tsz 


则 Ps 的 坐标 由 下 式 给 出 : 
Za 一 2 一 2 一 sz 
I 一 ACzZi 一 as) 一 1 
例 3.1.4 椭圆 曲线 EE: y’ 十 zy 二 x? 十 asx? 十 a6,(azs ,sas EK,char(K) 二 2) 上 点 
加 的 表达 式 。 
(1) 逆 元 素 : 设 P=(zx,y), 则 一 P= 二 (x,y 十 zx)。 
(2) 一 般 加 法 : 设 Ps 二 Pi 十 Pz, 其 中 P; 二 (xi,yi) ,i 一 1,2,3。 
1) 若 忆 P; , 即 zi 一 zy,y 一 y% 十 zz, 则 PP 十 P 一 c。 
2) 若 P, 天 一 P: , 且 Pi 隆 Ps 时 ，P，, 的 坐标 由 下 式 给 出 : 


wk 2 
Xs ¥ | 二 六 二 2 二 运 上 Za 十 az 


mW i 二 2 


a ( 半 关 村 二 2 二 


ET 
3) 车 Pi 隆 一 Ps, 且 Pi 二 Ps 时, Ps 的 坐标 由 下 式 给 出 : 
XT3 = zf 十 轰 
1 


ys 一 好 十 (= 十 3 + 
1 


例 3.1.5 椭圆 曲线 EE: y? 十 asy 二 Xx? 十 asXx 二 as (az sassas EK,char(K)==2) 上 
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点 加 的 表达 式 。 
(1) 逆 元 素 : 设 P= 二 (x,y), 则 一 P==(zx,y 十 as)。 
(2) 一 般 加 法 : 设 Ps= 二 Pi 十 P;, 其 中 P; 二 (zisyyi) ,i 二 1,2,3。 
1) 若 Pi P; ,Bp zi =zz ;y= 二 Tas ;: 则 Pi 二 Ps 二 oo。 
2) 若 Pi, 天 一 P:, 且 Pi 入 P。 时 ,Ps 的 坐标 由 下 式 给 出 : 
Xs 一 (>) 十 Xi1 十 zz 


E+ Wn 


Ja 一 (¥ 一 2 jc 二 二 yaa: 


Xi 十 zz 
3) 若 Pi 隆 一 Ps, 且 Pi 二 Ps 时 ,Ps 的 坐标 由 下 式 给 出 : 
i 十 a3 
Wy 


us 
ys 一 (2 ) 十 zs) 十 yi 十 as 
as 
特征 3 的 情形 请 读者 自己 补 齐 或 参见 文献 [1,4]。 


3.2 射影 坐标 和 Jacobi 坐标 


椭圆 曲线 上 的 点 有 几 种 不 同 的 坐标 表示 ,此 前 使 用 的 平面 解析 几何 中 的 坐标 平 
面 被 称 为 仿 射 平面 .所 以 仿 射 坐标 平面 上 的 点 的 坐标 表示 也 称 为 仿 射 坐标 ,通常 记 为 
Cry) ,而 无 穷 远 点 没有 相应 的 坐标 表示 ,用 == 或 者 O 表示。 

用 仿 射 坐标 表示 椭圆 曲线 上 点 在 做 点 加 时 会 涉及 有 限 域 的 除法 ,而 除法 在 计算 
中 要 消耗 较 多 的 计算 时 间 。 在 椭圆 曲线 密码 体制 的 应 用 中 ,每 一 次 计算 都 要 涉及 数 
百 次 点 加 运算 ,所 以 能 够 在 做 点 加 时 省 下 一 些 除 法 运算 , 那 对 于 提高 系统 的 效率 是 有 
重要 意义 的 。 这 个 时 候 需要 射影 坐标 和 Jacobi 坐标 。 


3.2.1 射影 坐标 


我 们 把 射影 坐标 理解 为 仿 射 坐标 通 分 后 把 公分 母 用 另 一 个 分 量 表示 的 一 种 坐标 
表示 方法 。 这 样 ,给 射影 坐标 乘 上 一 个 非 零 常 数 , 那 这 个 坐标 和 原来 的 坐标 表示 的 是 
同一 个 点 。 

点 (x,y) 的 坐标 “ 通 分 ”以 后 写 为 (X/Z,Y/2Z) ,把 公分 母 写 成 另 一 个 分 量 , 则 这 个 
点 的 表示 为 LX,Y,2Z]。 这 里 用 方 括号 表示 坐标 LX,Y,Z] 和 [LAX,AMY,AZ] 当 、) 不 等 于 
零 时 表示 同一 个 点 。 这 是 因为 .把 LX,Y,Z] 和 [AX,AY,42Zj 变 成 仿 射 坐标 就 是 
(X/Z,Y/2Z) 和 (AX/AZ,AY/AZ) ,这 是 同一 个 点 的 坐标 。 

射影 平面 是 在 仿 射 平 面 的 基础 上 加 上 一 些 无 穷 远 点 构成 的 。 动 用 一 点 灵活 性 ， 
减少 一 点 严格 性 ,不 妨 称 仿 射 平面 上 的 点 为 “有 穷 远 点 ”, 以 示 对 无 穷 远 点 的 区 别 。 身 
影 平面 上 的 有 穷 远 点 的 射影 坐标 [X,Y.Z] 的 特点 是 Z 卫 0; 无 穷 远 点 的 射影 坐标 形 如 
[X,Y,0], 其 中 XX 和 Y 中 至 少 有 一 个 不 为 零 。 下 面 就 来 计算 一 下 椭圆 曲线 上 无 穷 远 
点 的 射影 坐标 。 
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设 琅 ; yy 十 qrxy 十 asay 二 十 asX 十 qsXx 十 ae (a; EK) 是 一 条 椭圆 曲线 ,如 果 P= 
(rz,y) 是 EE 上 一 个 点 , 则 把 PP 的 坐标 代入 上 述 方程 可 使 方程 两 边 相 等 。 设 P 的 射影 
坐标 为 P= 二 [X,Y,2Zj, 则 当 Z 卫 0 时 有 

= X/Z, y=Y/Z 
代入 上 述 椭圆 曲线 的 方程 有 
(¥) +a 3 十 oo 去 (¥) + (EE) +a E+ 
方程 两 边 各 项 通 分 后 乘 上 Zi 得 
YZ++a XYZ +asYZ’ = Xs 十 azX2D 十 asX2QZ2 十 ae2a 
这 个 方程 称 为 椭圆 曲线 的 齐 次 方程 。 因 为 无 穷 远 点 的 坐标 的 特点 是 Z 二 0, 把 它 代入 
齐 次 方程 后 发 现 方程 变 成 


X* ==0 
也 就 是 说 ,椭圆 曲线 上 无 穷 远 点 的 坐标 一 定 是 L0,Y,0] 的 样子 ,而 点 的 射影 坐标 的 3 个 
分 量 一 定 要 有 一 个 不 为 零 , 因 此 Y 了 0。 所 以 椭圆 曲线 上 的 无 穷 远 点 一 定 是 [0,1,0]。 
可 以 看 到 ,用 仿 射 坐标 表示 椭圆 曲线 上 的 点 ,无 穷 远 点 就 没有 坐标 表示 ;而 在 射 
影 坐 标的 情形 ,无穷 远 点 有 一 个 自然 的 坐标 表示 。 这 说 明 射 影 平面 比 仿 射 平面 更 具 
完备 性 。 


3.2.2 Jacobi 坐标 


Jacobi 坐标 用 [X,Y.Z] 表 示 点 的 坐标 。Jacobi 坐标 和 仿 射 坐标 (zx,y) 的 关系 为 
Sd 
当 域 的 特征 大 于 3 时 ,方程 的 形式 为 
Y? = XaXZ'+ob2° 
当 域 的 特征 是 2 时 ,方程 的 形式 分 别 是 
Y’? 十 XYZ KR’ 二 +a RZ Taz F180 
3 ysYZ* X3 aXZ’ a2s 了 一 0 
在 Jacobi 坐标 下 ,无 穷 远 点 的 坐标 是 [0,1,0]。 仿 射 坐标 (zx,y) 到 Jacobi 坐标 的 
转换 为 X 一 z, 了 一 >,Z 一 1。 
使 用 Jacobi 坐标 的 点 加 算法 比 采 取 射 影 坐 标 更 快 一 些 。 以 下 就 给 出 两 条 曲线 
的 点 加 运算 的 公式 。 
定义 在 特征 大 于 3 的 曲线 一 X? 十 aXZ' 十 6Zs 的 点 加 公式 。 其 中 P; 一 (Xi， 
YZ ,i=1,253; 符 合 Py 二 Pi 和 十 Py。 


(1) PP;: 
i= XL 
Xs 一 X21 
Ms 二 A1—Az 
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hs 一 和 一 1s 
pe 
加 :三 新富 浊 
2 


= 
As = Ar1243 一 2X。 
Ys = (Mehs — MsA3)/2 


《27 Pi=P;: 
A1 = 3X1 +aZt 
Zs = 2Y121 
N= 
Xs = A — 2As 
Ne 


A 0 en ey 
定义 在 特征 2 的 曲线 YY 十 XYZ= 二 XX 十 asX?Z? 十 asZs 的 点 加 公式 。 其 中 忆 , 一 
(Xi,Yi,2i) ,i 二 1,2,3, 符 合 P, 一 P, 十 P，,。 


(1) PiAP;: 
加 三 -2 
ha = X23 
ha 二 和 十 Xs 
A= Y23 
hs = Ye23 
hs 二 和 4 十 As 
Wy = 
hs = A Xz 十 ?Ya 
Zs = Ms 
hs = Nh 十 Zs 
Xs 二 asZ3 十 Mesh 十 和 3 
0 
(2) Pi=P;,: 


= Ri 

N= CR 4 
1 一 ZZ; 二 Xi 十 Yi2i 
Ya: = X12Z; + 4X; 


i 信息 安全 中 的 数学 方法 与 技术 


3.3 自 同 态 


本 节 讨 论 椭圆 曲线 玉 上 的 自 同 态 。 
定义 3.3.1 有 理 映射 a:E(K) 一 E(K) 称 为 椭圆 曲线 玉 的 自 同 态 ,如 果 它 符合 
aCP, 十 Ps) 一 caCP) 十 acCP:) 
这 里 a 是 有 理 映 射 的 意思 是 ,存在 有 理 函 数 ( 多 项 式 的 商 )Ri1(zx,y) ,Rs(r,y) ,使 得 对 
任意 的 (zx,y)EE(K), 都 有 a(x,y) 二 (Ri(zx,y) ,Rs(r,y)), 
例 3.3.1 设 巨 : y= 二 x 十 ax 十 b 是 一 条 椭圆 曲线 , 则 PxP 是 EE 的 自 同 态 , 因 
此 其 形式 为 n(x,y) 二 (RI1(X,y) ,R(x,y))。 特 别 地 ,n= 二 2 时 有 


Bad (| 人 fy y] 
为 了 简单 起 见 ,考虑 特征 不 等 于 2,3 的 域 上 定义 的 椭圆 曲线 E: x 二 志 十 az 十 b。 


此 时 对 任意 的 (z+,y)EE(K) 都 有 y= 二 x 十 az 十 5b, 因此 玉 上 的 有 理光 数 都 可 以 写成 
以 下 形式 : 


Pi(z)+t p(x)y 
ee 


进而 用 ps(zx) 一 ps(z)y 对 上 式 的 分 母 “ 有 理化 ”后 有 
qi(z)++ qz)y 


RCz,y) = 二 
又 因为 
5) a( 一 (zyy)) a(x,y) 
故而 有 
Ri(z,—y)= Ri(z,y), R(x,—y) =— Rs (x,y) 
因此 有 


aGCzyy) = (ri(z) ,re (xX)y) 
其 中 (zx)、rs(zx) 是 工 的 有 理 函 数 。 

记 i(z)= 二 p(xz)/q(z), 其 中 (p(xz),gq(x))= 二 1。 如 果 在 点 (x,y) 处 有 g(x) 二 0， 
则 令 wxCzy) 王 co; 如 果 aCz) 天 0, 则 可 以 证 明 ( 留 给 读者 证 明 )r:(Cz) 天 0, 因 此 w 的 定 
义 是 良好 的 。 如 果 a 是 一 个 非 平凡 自 同 态 , 则 定义 a 的 次 数 为 

deg(a) = max{degp (zx) .degg(xz)} 


规定 deg(0) 一 0。 如 果 岂 (Cz) 天 0. 则 称 a 是 可 分 的 ;否则 称 a 为 不 可 分 的 。 


关于 椭圆 曲线 自 同 态 的 一 个 基本 定理 表明 .椭圆 曲线 上 的 全 体 自 同 态 构成 一 个 
环 , 并 且 同 构 于 下 列 3 种 环 之 一 中 : 

(1) 整数 环 ; 

(2) 虚 二 次 代数 数 域 的 子 环 ; 

(3) 四 元 数 域 的 子 环 。 

因此 ,椭圆 曲线 瓦 的 自 同 态 映 射 c 在 EE 上 的 作用 有 以 下 3 种 情况 : 
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aq 


(1) a(P) 二 nxnP, 其 中 nEZ, 此 时 记 a 一 n= 二 0; 
(2) a:(P) 二 aa(P) 十 6 二 ,其 中 a,6EZ, 此 时 记 ?十 aa 二 6 二 0; 
(3) a 符合 一 个 4 次 多 项 式 。 


例 3.3.2 设 户 是 定义 在 g 元 有 限 域 fF, 上 的 椭圆 曲线 ,其 上 的 g-Frobenius 上 映 


射 8 定义 为 
geCzyy) = (zy2) 
显而易见 ,g。 是 上 的 一 个 次 数 为 q 的 不 可 分 自 同 态 , 且 有 
2 一 ago 十 94 一 0 
其 中 a 的 意义 将 在 下 一 节 中 给 出 详细 说 明 。 


例 3.3.3 设 素数 p 三 1(mod 4),iE€E ,是 一 个 乘法 4 阶 元 素 。 考 虑 李 圆 曲线 


E/F,: y= 二 x 十 ax 上 的 映射 
%: (zy) (一 Ziy) 


则 8 是 EE 的 一 个 自 同 态 , 且 有 
十 1 二 0 


例 3.3.4 设 素数 p 三 1(mod 3),pE FF 是 一 个 乘法 3 阶 元 素 。 考 虑 椭圆 曲线 


E/F,: yy 二 x 十 bp 上 的 映射 
$: (TY) > (pr,y) 
则 5 是 EE 的 一 个 自 同 态 , 且 有 
十 $8 十 1 二 0 
本 节 中 的 例子 都 是 在 椭圆 曲线 密码 学 中 常常 要 用 到 的 。 


3.4 曲线 上 点 的 个 数 


3.4.1 有 限 域 上 椭圆 曲线 上 点 的 个 数 


设 E/K 是 一 条 椭圆 曲线 , 令 n 是 一 个 正 整数 , 记 
ELlnj] = {P € E(K) | nP = oo} 
为 上 nn 阶 点 全 体 。 如 果 K 的 特征 不 整除 ”或 者 等 于 0, 则 中 
E[Lnj] 二 2Z, 中 Z， 
如 果 域 K 的 特征 是 素数 p, 上 且 pln。 记 n==pmn ,ptn ; 则 中 
Elnj] 宇 Zw 匆 Zr 或 者 Eln] 宇 Z,@Z 


设 Ff, 是 dg 元 有 限 域 , 则 定义 在 fF, 上 的 椭圆 曲线 EE/F。 上 点 的 个 数 的 最 基本 结 


果 由 以 下 Hasse 引 理 给 出 。 


定理 3.4.1(Hasse 引 理 ) |#E(F,) 一 g 一 1| 二 2Vg。 
定理 3. 4. 1 的 证 明 参 见 文献 [4]。 


Hasse 引 理 表达 出 这 样 一 个 信息 : 定义 在 g 元 有 限 域 上 的 椭圆 曲线 上 点 大 约 有 
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g 十 1 个 ,其 确切 值 和 g 十 1 的 误差 的 绝对 值 比 g 小 得 多 . 即 不 超过 2Vg。 

记 a 二 gq 十 1 一 #E(F,), 则 a 是 唯一 满足 

9 一 aps+q=0 

的 整数 ,因此 称 a 为 Frobenius 映射 8 的 迹 . 即 a 二 Tr(8,)。 此 时 多 项 式 X* 一 aX 十 gq 
称 为 Frobenius 映射 8 的 特征 多 项 式 。 

如 果 X?: 一 aX 十 g 一 (X 一 a)(CX 一 B) , 则 ea" 十 B" 是 $3 的 迹 , 这 样 就 有 器 

井 书 (Fo ) 一 十 1 一 (o 十 B") 

对 于 比较 小 的 g, 这 个 结果 可 以 给 出 一 个 计算 椭圆 曲线 的 阶 的 方法 。 

例 3.4.1 定义 在 FF, 上 的 椭圆 曲线 y? 十 zy 二 x 十 1 上 有 4 个 点 (0,1)、(1,0)、 
(1,1) ceo。 因此 a 王 2 十 1 一 4 一 一 1, 于 是 有 


xX? +x+2— (x =1t 7 (x = 二 7] 


令 一 101, 则 有 
101 101 
(x-=1 7 < 了 | +[x 一 = 二 7 < 了 |] 一 2969 292 210 605 269 
因此 
#E(F!")=2' 十 1 一 2 969 292 210 605 269 
一 2 535 301 200 456 455 833 701 195 805 484 


3.4.2 超 奇 异 椭 圆 曲 线 


设 EE/K 是 一 条 定义 在 特征 p 的 有 限 域 上 的 椭圆 曲线 ,如 果 EL[pj]= 二 { 吕 }), 则 
EE 称 为 是 一 条 超 奇 异 椭圆 有 曲线。 换言之 ,特征 p 的 有 限 域 上 超 奇 异 椭圆 曲线 没有 
阶 点 。 

超 奇异 椭圆 曲线 不 是 奇异 曲线 。 之 所 以 用 “奇异 ”这 个 词 来 描述 这 类 椭圆 曲线 的 
特点 ,是 因为 这 类 椭圆 曲线 的 自 同 态 环 是 四 元 数 域 的 子 环 , 有 兴趣 的 读者 请 参阅 文 
献 L1]。 

以 下 定理 可 以 帮助 我 们 确定 一 条 椭圆 曲线 是 否 为 超 奇异 椭圆 曲线 。 

定理 3.4.2 设 E/F, 是 定义 在 g 元 有 限 域 上 的 椭圆 曲线 ,其 中 g 是 素数 的 方 
窒 。 令 4a 二 gq 十 1 一 #E(F,), 则 EE 是 超 奇 异 椭圆 曲线 当 且 仅 当 pla。 

推论 ” 设 素数 p 三 5, 则 E/F。 是 超 奇 异 椭圆 曲线 当 且 仅 当 a 二 0, 即 #E(F,) 二 
pF 

例 3.4.2 以 下 椭圆 曲线 均 为 超 奇异 椭圆 曲线 : 

(1) E/Fz :yy 二 x? 十 xX, 其 中 #E(F:) 一 5; 

(2) E/Fs:y’ 一 x? 一 x 十 2, 其 中 划 E(Fs) 二 1; 

(3) E/F,:y 二 x 十 6, 其 中 奇数 g 寺 2(mod 3) ,bE FY ,#E(F,) 一 g 十 1。 


3.4.3 非 正 常 曲线 
椭圆 曲线 E/F, 称 为 非 正 常 曲线 .如 果 # 巨 CF,) 一 g。 非 正常 曲线 上 点 群 同 构 
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于 F, 上 的 加 法 群 ,因此 离散 对 数 问 题 是 容易 求解 的 。 在 选取 椭圆 曲线 构造 密码 系 
统 时 不 能 使 用 这 类 曲线 。 


3.5 对 子 
将 Weil 对 和 Tate 对 统称 为 对 子 , 也 有 作者 称 之 为 双 线性 对 。 
3.5.1 除 子 


为 了 定义 对 子 ,必须 引进 一 个 代数 几何 的 概念 : 除 子 。 
定义 3.5.1 设 E/K 是 定义 在 K 上 的 一 条 酉 圆 遇 线 ,下 的 到 有 理 点 生成 的 有 
限 形式 和 
及 三 > np (P) 
称 为 EE 的 一 个 除 子 , 这 里 np 是 整数 。 四 
除 子 DD 的 次 数 定义 为 deg(D) 二 ”2 no， 次数 为 零 的 除 子 称 为 零 次 除 子 。 


PE ECK) 


除 子 D 的 和 定义 为 sum(D) 二 >， npP, 这 是 椭圆 曲线 上 的 一 个 点 。 


PEECK) 
除 子 D 的 支 集 定义 为 supp(D) = {P|PEE(K),np 关 0}, 表示 除 子 里 包含 哪 
已 上 全 体 除 子 所 成 的 自由 Abel 群 称 为 下 的 除 子 群 , 记 为 div(E)。 

在 除 子 的 定义 中 ,有 限 和 的 意思 是 对 几乎 所 有 的 P 都 有 np 二 0; 而 形式 和 的 意思 
就 是 只 要 点 在 曲线 上 就 可 以 了 ,而 点 的 其 他 数学 性 质 , 比 如 弦 切 律 定义 的 加 法 等 ,都 
不 予 考虑 。 例 如 ,在 除 子 

D, = (P)+(—P) 
中 ,CP) 和 (一 P) 没 有 任何 关系 ,它们 只 是 形式 地 加 在 一 起 ,因此 Di 隆 ( 吕 ); 而 在 除 子 
D: = 2(P) 
中 ,2 也 只 是 形式 地 乘 在 (P) 上 ,同样 D, 了 关 (2P)。 不 妨 用 如 图 3.4 所 示 的 示意 图 来 理 


解除 子 的 概念 。 
P R 


3.4 除 子 的 概念 示意 图 


除 子 : D=3CP) 十 (Q) 十 4(CR)。 次 数 : deg 了 一 3 十 1 十 4 一 8。 和 : sum(D) 一 
3P 十 Q 十 4R。 支 集 : supp(D) 一 {P,Q,R}。 
除 子 的 概念 比较 难以 理解 ,但 是 除 子 的 构造 可 以 类 比 于 从 素数 构造 有 理 数 。 如 
果 只 考虑 有 理 数 的 乘法 关系 ,整数 的 构造 就 是 
天 一 工 ps ， 12 之 0 
有 理 数 的 构造 是 
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Q 一 To 人 
除 子 和 有 理 数 的 区 别 有 两 个 : 四 除 子 的 运算 是 加 法 ,有理数 的 运算 是 乘法 ; @@ 除 子 
是 纯粹 的 形式 和 ,而 有 理 数 的 积 是 有 确切 值 的 。 
假设 屯 : 光一 翌 十 az 十 0 是 一 条 椭圆 曲线 ,E 上 的 函数 是 指 至 少 在 ECK) 的 一 个 


点 上 有 定义 的 有 理 式 f(z,y)E 民 (zx,y)。 例 如 ,g (zsy) 一 一 7 就 不 是 瑟 


uh —zx’ Be 
上 的 函数 。 设 有 已 上 的 函数 /Cry 一色 2 ,其 中 p(xsy) .g(x,y) EKRLz,yJ, 则 
作为 函数 有 


2 _ pl(zr,y) (mod 办 一 za 一 az 一 0) 
yz qdCzyy)(mod y: — zx —azr—b) 


玉 上 的 点 P 称 为 函数 f(r,y) 的 零点 ,如 果 FCP) 王 0; 点 Q@ 称 为 函数 f(z,y) 的 
极点 ,如 果 1/f(Q) 二 0。 类 比 复 变 函数 中 零点 和 极点 的 阶 的 概念 ,也 可 以 引入 EE 上 
函数 的 零点 和 极点 的 阶 的 概念 。 设 P 是 上 一 个 点 , 则 存在 被 称 为 P 点 的 一 致 化 子 
的 函数 up ,使 得 up(P) 二 0, 且 任 一 函数 f(z,y) 都 可 以 写成 以 下 形式 : 

f= 二 ug， 其 中 rE€ 2Z, 且 g(P) 关 0,% 
定义 在 P 点 的 阶 为 


ordp(f)=r 
根据 复 变 函数 论 , 函 数 的 零点 和 极点 只 有 有 限 多 个 。 椭 圆 曲 线 上 的 函数 实际 上 
就 是 一 类 特殊 的 复 变 函数 ,因此 也 只 有 有 限 个 零点 和 极点 ,故而 有 以 下 定义 。 
定义 3.5.2 设 / 是 EE 上 一 个 非 零 函数 ,f 定义 的 除 子 为 
div(f) = BD) ords(f)(P) € Div(E) 


PE ECK) 
函数 定义 的 除 子 称 为 主 除 子 。 两 个 除 子 D1 .Ds 称 为 等 价 的 :如果 它们 之 间 差 一 个 主 
除 子 。 等 价 的 除 子 记 为 Di 一 D: ,. 即 有 
D1 一 D; 今 存在 玉 上 函数 了 ,使 得 Di 二 D; 十 div( 了 /)。 
根据 复 变 函数 的 理论 , 主 除 子 显然 是 零 次 除 子 。 但 是 , 零 次 除 子 不 一 定 是 主 
除 子 。 


定理 3.5.1 椭圆 曲线 上 的 零 次 除 子 D = 2niP) 是 主 除 子 当 且 仅 当 sum(D) 


定理 3.5. 1 的 证 明 参 见 文献 [4]。 
3.5.2 Weil 对 


设 n 和 下 , 的 特征 p 互 素 ,E 是 定义 在 FF, 上 的 椭圆 曲线 , 且 存 在 正 整数 m 符合 
EL[n] CE(Fn) 
以 下 来 定义 Weil 对 
en: ELn] XEln]j—> p= (65) CC Fr 
其 中 mm 是 次 单位 根 群 。 
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设 P,QEE[nj, 令 零 次 除 子 Di 一 (P) 一 (2),D,; 一 (Q) 一 (oo) 并 且 supp(CD) 门 
supp(D;) 二 名 。 由 定理 3. 4.1 知 存在 函数 F,s 使 得 
div(f) = nDi1 = n(P)—n(), div(g) = nD;: = n(Q)—n() 
则 定义 Weil 对 为 
_ f(D;) 
g(D) 
其 中 函数 在 除 子 上 的 取 值 定义 为 : 对 于 除 子 D = >a;(Q) .f(D) = [[f (QD)"。 


定理 3.5.2 Weil 对 具有 以 下 性 质 。 
(1)( 双 线性 ) 对 任意 的 S,Si,S;,T,T ,TE€ ELnj, 则 有 
uli SsTy = oT etS TY 
en(S,Ti 十 Tz) 一 er(S,Ti)e(S,Tz) 
(2)〈 非 退化 性 ) 如 果 对 任意 的 TEE[nj 都 有 e,(S.,T) 二 1, 则 S 一 <; 同样 地 ,如 
果 对 任意 的 SE EL[n] 都 有 e,(S,T) 二 1, 则 T=o0。 
(3)( 归 一 性 ) 对 任意 的 TEE[nj 都 有 e,(T,T)==1。 
证 明 : 略 , 请 参见 参考 文献 L4] 。 
密码 学 需要 的 对 子 应 该 满足 新 的 非 退 化 性 : 对 nn 阶 点 TEE[nj, 有 e,(T,T) 二 
&。 这 和 Weil 对 的 归 一 性 相 违 背 , 因 此 需要 对 Weil 对 做 些 改造 。 
由 于 n 和 椭圆 曲线 的 定义 域 K 的 特征 互 素 , 由 3.4.1 节 可 知 
E[n] 宇 zz, 
也 就 是 说 ,E[nj]= 二 《4P);O(Q), 其 中 PQ 是 nn 


é.<PsQ) 


[' 
阶 点 。 取 一 个 满足 条 件 c: PQ 的 同 态 映 1)p nptnQ 
射 ,如 图 3. 5 所 示 , 对 Weil 对 进行 以 下 | 
Oo 
改造 : 


| 
| 
CPi, Ps) — eCPiso( Ps)) 
则 新 定义 的 对 子 Z, 符合 密码 学 的 要 求 。 以 。” 了 ?Ew? 
后 再 说 到 Weil 对 都 是 指 改 造 后 的 Weil 对 。 0o 0 区 Do”™ 
下 面 的 定义 说 明 什么 样 的 同 态 映 射 可 图 3.5 映射 6 的 示意 图 (其 中 0=oo) 
以 用 来 改造 Weil 对 。 
定理 3.5.3 设 PEE(F,) 是 一 个 rr 阶 点 ,其 中 + 是 个 素数 。 设 整数 滩 二 1。 如 果 
E(Fy ) 中 没有 普 阶 点 。 令 o 是 巨 的 一 个 自 同 态 ,如 果 o(P)FE(F,), 则 e(P,o(P)) 关 1。 
把 符合 条 件 EL[n]CECFr ) 的 最 小 正 整数 m 称 为 这 条 椭圆 曲线 对 于 整数 的 和 
入 次 数 。 应 该 注意 到 ,即使 工作 在 椭圆 曲线 的 Fe 有理 点 上 ,对 子 的 取 值 还 是 在 扩 域 
Fr 中。 所 以 这 里 租 入 次 数 的 大 小 对 Weil 对 的 计算 有 着 重要 的 意义 : 岩 入 次 数 越 
小 ,Weil 对 越 容易 计算 ; 幅 入 次 数 越 大 .Weil 对 越 不 容易 计算 。 艇 入 次 数 的 值 小 到 一 
定 的 程度 ,比如 不 大 于 2, 则 用 这 种 椭圆 曲线 做 出 来 的 密码 系统 容易 受到 MOV 攻 
击 :内 入 次 数 的 值 大 到 一 定 程度 ,比如 大 于 30, 则 计算 对 子 的 值 就 要 消耗 超 量 的 计算 
资源 ,从 而 一 些 利 用 对 子 的 密码 系统 ,比如 基于 身份 的 密码 系统 就 没 法 实现 了 。 超 奇 
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异 椭圆 曲线 的 内 入 次 数 不 超 过 6 中 , 常 被 用 来 构造 基于 对 子 的 密码 系统 。 
以 下 定理 为 确定 椭圆 曲线 的 姐 入 次 数 提供 了 一 条 重要 的 线索 。 
定理 3.5.4 设 E/F, 是 一 条 定义 在 Ff, 上 的 椭圆 曲线 ,素数 l|#E(F,),E[LL] 节 
E(F,), 且 《tg(g 一 1); 则 
ELt] CE(Fw"m) 当 且 仅 当 gqg" 二 1(mod 7) 
这 个 定理 在 Tate 对 的 理论 中 起 着 同样 的 作用 。 


3.5.3 Tate 对 


设 E/F, 是 一 条 椭圆 曲线 , 正 整 数 n1g" 一 1。 可 以 定义 男 一 种 对 子 ,Tate 对 : 
t™: EC(For)[Ln| XxX EC(Fgr)/nE(Fr) 一 An 
Tate 对 也 具有 双 线 性 、 非 退化 等 性 质 , 在 密码 学 中 起 着 和 Weil 对 同样 的 作用 。 下 面 
就 来 介绍 Tate 对 的 构造 。 
设 P,QEE(Fyr)[nj, 则 存在 函数 了 使 得 
div(f) = n(P)—n() 
再 令 除 子 D 一 (Q) 一 ( 吕 ) 是 一 个 零 次 除 子 , 且 suppCD)m(P,c=o} 一 如, 则 Tate 对 mm 
的 定义 为 
ma(P,Q) = f(D) 
Tate 对 具有 双 线 性 和 非 退 化 等 性 质 。 
定理 3.5.5 以 上 定义 的 Tate 对 具有 以 下 性 质 : 
(1)( 双 线性 ) 对 任意 的 S,Si ,Ss EE(Fy)[nj,T,T,T, EE(Fyr)/nE(Fy )， 
tsi S75T) = tds TT (SssT) 
ta(S,Ti+ Ts) = tr(S, Ti)r CS, T,) 
(2)( 非 退化 性 ) 如 果 对 任意 的 TEE(Fx)/nE(Fy) 都 有 5(S.T) 二 1, 则 S 二 oo; 同 
样 地 ,如 果 对 任意 的 SEE 下 [都 有 mm(CS,T) 一 1, 则 了 一 =。 


3.5.4 对 子 的 计算 


以 Tate 对 的 计算 为 例 , 其 关键 是 计算 函数 f ,使 得 divCF) 一 72(P) 一 2Cco)。 
Miller 算法 给 出 了 解决 这 个 问题 的 基础 。Miller 算法 的 目的 是 计算 函数 f; ,使 得 
div(fi) = i(P)— GP)— (Gi—1)(%) 


这 样 f= 二 了,。 
注意 到 对 于 两 个 椭圆 曲线 上 的 函数 f,g, 有 div(fg) 二 div(/) 十 div(g)。 利 用 这 
个 关系 构造 计算 f; 的 一 个 递归 算法 。 
在 计算 点 2P 的 过 程 中 , 记 lp 是 过 PP 点 的 切线 ,vp 是 过 一 2P 和 2P 的 直线 。 把 
lp 和 vp 看 成 椭圆 曲线 上 的 函数 . 则 
fz = lp/vp {9.7 
即 


div( 和 全] 2(CP) — (2P) 一 (co) 
Up 
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af 


假设 f; 和 fj 已 经 得 到 , 记 4,j 是 过 iP 点 和 jP 点 的 直线 ,vi 是 过 一 (i 十 )P 点 

和 (i 十 j)P 点 的 直线 。 把 4;,; 和 wi,; 看 成 椭圆 曲线 上 的 函数 , 则 
A 《3. 8) 

即 
: ye 
div (1, De 
图 3.6 和 图 3.7 分 别 是 计算 f; 和 fi+j; 的 示意 图 。 下 面 以 图 中 的 直线 lisp 为 例 来 

说 明 算法 中 函数 的 意义 。 


= GP oDP) Git+ji—1)(%) 


Th 


a 
2P 
图 3.6 计算 /; 的 示意 图 图 3.7 计算 /+ 的 示意 图 


lr 与 椭圆 曲线 相交 于 P 点 两 次 ,一 2P 点 1 次 ,而 且 没 有 其 他 交点 ,因此 P 是 i 

的 2 阶 零点 ,一 2P 是 Lp 的 1 阶 零点 且 没 有 其 他 零点 。 显 然 lp 没有 有 限 的 极点 ,因此 
其 极点 为 无 穷 远 点 ,又 根据 函数 的 极点 和 零点 个 数 相等 可 知 ,无 穷 远 点 是 如 的 3 阶 
极点 ,故而 有 

div(lp) 一 2(CP) 十 (一 2P) 一 3(Cco) 
同样 的 分 析 可 知 

div(vp) = (一 2P) 十 (2P) 一 2(Cco) 
因此 


div(lp/ve)= [2CP) 十 (一 2P) 一 3(co)] 一 [( 一 2P) 十 (2P) 一 2(Cco)] 
= 2(P)— (2P) 一 (cc) 

把 用 二 进 制 表示 ,利用 倍 点 相 加 的 技术 ,反复 利用 式 (3.7) 和 式 (3. 8) 可 以 在 
lgn 的 多 项 式 时 间 内 得 到 三 。Weil 对 的 计算 类 似 , 请 读者 参考 文献 [6]。Miller 算法 
保证 了 对 子 的 可 计算 性 ,也 就 保证 了 基于 椭圆 曲线 上 对 子 的 密码 学 体制 在 应 用 上 的 
可 行 性 。 


3.6 ”椭圆 曲线 密码 体制 


本 文 涉及 的 椭圆 曲线 密码 体制 是 基于 下 列 困 难 问 题 : 
(1) Diffie-Hellman(DH) 问 题 。 设 户 是 一 条 椭圆 曲线 ,P 是 上 一 个 7 阶 点 ,其 
中 7 是 一 个 大 素数 。 则 称 玉 上 DH 问题 是 一 个 困难 问题 ,如 果 对 任意 的 多 项 式 时 间 
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算法 A, 对 于 给 定 玉 上 点 aP .bP, 以 下 概率 可 和 忽略: 
Adv(A) = Pr [abP = A(P,aP ,bP)] 

(2) 双 线 性 Diffie-Hellman(BDH) 问 题 。 设 是 一 条 椭圆 曲线 ,P 是 EE 上 一 个 
”~ 阶 点 ,其 中 了 是 一 个 大 素数 ,e 是 玉 上 定义 的 可 以 有 效 计算 的 一 个 对 子 。 则 称 E 上 
BDH 问题 是 一 个 困难 问题 ,如 果 对 任意 的 多 项 式 时 间 算 法 A, 对 于 给 定 已 上 点 <P、 
pP、cP, 以 下 概率 可 忽略 : 

Adv(A) = Pr[e(P,P)“ = A(P,aP ,bP ,cP)]J 

对 于 不 同 的 应 用 环境 ,椭圆 曲线 上 可 以 定义 许多 种 不 同 的 困难 问题 ,这 里 只 列 出 
两 个 最 基本 的 。 下 面 以 上 述 两 个 困难 问题 为 基础 构造 一 些 密码 学 协议 。 以 下 几 节 中 
的 玉 .P\r 的 含义 与 本 节 相 同 。 


3.6.1 Diffie-HellIman(DH) 密 钥 交 换 协 议 


如 果 AliceC(A) 和 Bob(B) 希 望 利 用 公开 信道 建立 一 个 公共 的 会 话 密 钥 , 则 他 们 可 以 
利用 以 下 协议 : 首先 共同 选择 一 条 椭圆 曲线 ,这 条 椭圆 曲线 上 的 DH 问题 是 个 困难 问 


题 。 然 后 分 别 选 取 随 机 数 a、b,Alice 计算 aP 并 a Alice Bob ) 
发 给 Bob; Bob 计算 bP 并 发 给 Alice。Alice 收 到 aP 

bP 后 计算 a(bP) 得 到 密 钥 a5P,Bob 收 到 <P 后 计 bP 

算 CeP) 也 可 以 得 到 abP, 于 是 他 们 之 间 建 立 起 公共 密 钥 为 abP 


一 个 公共 的 密 钥 。 图 3. 8 所 示 是 DH 密 钥 交 换 协 3.8 ”DH 密 钥 交换 协议 示意 图 
议 的 示意 图 。 

利用 对 子 还 可 以 用 一 轮 信息 交换 建立 三 方 会 话 密 钥 。 

Alice(A)、Bob(B) 和 Charlie(C) 希 望 通过 公开 信道 建立 一 个 三 方 的 公共 会 i 
密 钥 。 他 们 首先 共同 选择 一 条 椭圆 曲线 .这 条 椭圆 曲线 上 的 BDH 问题 是 个 困难 
问题 。 然 后 分 别 选 取 随 机 数 a、b、c.Alice 计算 aP 分 别 发 给 Bob 和 Charlie; Bob 计 
算 OP 分 别 发 给 Alice 和 Charlie; Charlie 计算 cP 分 别 发 给 Alice 和 Bob。 Alice 收 
到 45P、cP 后 计算 el(bP,cP)* 得 到 密 钥 eC(P,P)* ,Bob 和 Charlie 类 似 也 可 以 得 到 
e(CP,P)“ ,于 是 他 们 之 间 建 立 起 一 个 公共 的 密 钥 。 图 3.9 所 示 是 三 方 密 钥 交换 协 
议 的 示意 图 。 


bP 
2 CC 
aP cp 公共 密 钥 K=e(P,Pyb 


图 3.9 一 轮 三 方 D-H 密 钥 交换 协议 
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3.6.2 基于 身份 的 密码 体制 


与 DH 密 钥 交换 协议 一 样 ,只 要 不 涉及 对 子 的 应 用 .椭圆 曲线 上 的 密码 体制 基本 
上 和 基于 有 限 域 上 离散 对 数 问题 的 密码 体制 类 似 , 这 里 就 不 再 逐一 详细 描述 。 本 节 
主要 介绍 最 近 比 较 受 到 关注 的 基于 身份 的 密码 体制 。 

Alice 要 给 Bob 发 电子 邮件 ,她 希望 利用 Bob 的 公 钥 对 邮件 进行 加 密 。 首 先 她 
需要 确定 在 网 上 找到 的 Bob 的 公 钥 确实 是 Bob 公布 的 ,而 不 是 别人 假冒 的 。 这 就 需 
要 Bob 的 密 钥 与 Bob 的 身份 进行 绑 定 。 解 决 密 铀 和 身份 绑 定 的 方案 是 由 CA 给 Bob 
颁发 证 书 。 利 用 对 子 , 可 以 构造 一 种 身份 和 密 钥 自然 绑 定 的 密码 体制 ,也 就 是 基于 身 
份 的 公 钥 密码 体制 。 

首先 需要 一 个 密 钥 分 发 中 心 S, 这 个 中 心 选 取 一 条 安全 的 椭圆 曲线 ,在 这 条 椭圆 
曲线 上 BDH 问题 是 困难 的 。S 选取 一 个 随机 数 ; 作为 整个 系统 的 最 高 机 密 加 以 保 
护 ,并 公布 *P。 如 果 Alice 要 给 Bob 发 送 明文 M, 则 她 从 公开 信息 中 获取 sP 和 Bob 
的 身份 TDs EE。 加 密 时 Alice 选取 随机 数 t 并 计算 U=tP,V= 二 Me(IDs,sP)', 把 
(U,V) 作 为 密 文 发 送 给 Bob。 

Bob 接 到 密 文 后 先 向 S 索取 自己 的 私 钥 ,S 把 sIDs 发 给 Bob 作为 私 钥 。Bob 拿 
到 私 钥 后 计算 M' 二 Ve(U,s1Ds), 则 M' 即 为 解密 后 的 明文 ,如 图 3. 10 所 示 。 


SS 秘密 传输 : Bob M A Bot 
最 高 秘密 秘密 传输 siDs | a ob 
ee 计算 (UALPM@e(IDBsP)) 
A Alice (UND 
(1) 密 钥 生成 (2) 对 消息 W 加 密 


Alice (UD) Bob 


计算 M'=V@e(U,siDp) 
解密 后 明文 为 M' 
(3) 解密 


3.10 基于 身份 的 密码 体制 


这 是 最 基本 的 基于 身份 的 方案 。 更 多 基于 身份 的 密码 学 ,请 参见 文献 [7]。 
3.7 点 标量 乘法 的 计算 


点 的 倍 乘 nP, 也 就 是 点 已 自己 加 次 ,是 椭圆 曲线 上 的 基本 运算 。 点 的 倍 乘 没 
有 统一 的 术语 ,有 的 文献 叫 点 乘 ; 也 有 的 文献 叫 点 的 标量 乘法 ,之 所 以 叫 标量 乘法 是 
把 点 看 成 向 量 , 而 把 点 群 看 成 是 整数 环 上 的 向 量 空间 (也 就 是 整数 环 上 的 代数 )。 这 
里 用 点 乘 这 个 术语 。 

点 乘 是 椭圆 曲线 密码 体制 实施 过 程 中 最 常见 、 最 耗 时 间 的 运算 ,一般 涉及 的 nn 都 
是 比较 大 的 整数 。 因 此 ,实现 高 效 、 快 速 的 点 乘 算法 是 椭圆 曲线 密码 体制 实现 的 一 个 


信息 安全 中 的 数学 方法 与 技术 


关键 。 要 提高 点 乘 算 法 的 速度 ,一 般 来 说 有 3 个 角度 需要 考虑 : 提高 有 限 域 上 算术 
运算 的 速度 ;提高 一 次 点 加 运算 的 速度 ;减少 点 加 次 数 。 

用 |n| 来 表示 nn 的 二 进 制 展 开 的 长 度 , 则 把 表示 成 二 进 制 展 开 再 利用 倍 点 相 乘 
的 算法 就 可 以 得 到 一 个 时 间 复 杂 度 为 O(n|) 的 算法 。 

在 椭圆 曲线 中 一 (z,y) 一 (Z, 一 y) ,所 以 最 基本 的 加 速 方法 就 是 把 倍 点 相 加 算法 
用 这 个 关系 式 进行 优化 ,给 出 n 的 非 连 接 形式 (NAF) 表 示 : 

n= 三 ao 十 a12 十 azs2? 十 … 十 as2’ wu € {一 1,0,l}ysaiain 一 0 

用 的 非 连 接 形式 (NAF) 的 点 加 运算 可 以 比 信和 点 相 加 算法 快 1/3。 

点 加 的 快速 算法 是 椭圆 曲线 密码 学 的 一 个 基本 问题 ,有 大 量 的 文献 研究 ,这 里 就 
不 一 一 列 出 。 


3 注 记 


本 章 主 要 围绕 椭圆 曲线 在 信息 安全 中 的 应 用 ,介绍 了 椭圆 曲线 的 一 些 基 本 概念 
和 基本 原理 。 有 关 椭 圆 曲 线 的 更 多 理论 与 结果 ,可 参考 文献 [3]、[4]， 有 关 椭 圆 曲 线 
在 密码 学 中 的 应 用 可 参考 文献 [1]、L2] 和 [6]。 近 年 来 .椭圆 曲线 在 整数 的 素性 检测 
和 因子 分 解 方 面 也 有 许多 成 功 的 应 用 ,有 兴趣 的 读者 可 参看 文献 [5]。 关 于 椭圆 曲线 
的 理论 及 其 在 密码 学 中 的 应 用 还 在 发 展 ,近年 来 越 来 越 多 的 人 研究 超 椭 圆 曲 线 在 密 
码 学 中 的 应 用 ,有 关 超 椭圆 曲线 在 密码 学 中 的 应 用 ,读者 可 参看 文献 [7]。 
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组 合 数学 是 当代 数学 中 非常 重要 的 一 个 分 支 , 它 的 历史 渊源 扎根 于 数学 娱乐 和 
游戏 之 中 。 过 去 不 论 是 出 于 消遣 还 是 出 于 其 美学 上 的 魅力 而 被 研究 的 许多 组 合 问 
题 ,在 当今 的 纯粹 科学 和 应 用 科学 研究 中 都 具有 很 重要 的 价值 。 随 着 计算 机 科学 的 
飞速 发 展 , 组 合 数学 有 了 更 强 的 生命 力 。 由 于 运算 速度 的 不 断 增 加 ,计算 机 已 经 能 够 
解决 以 前 不 敢 想 象 的 大 型 问题 。 然 而 计算 机 的 运行 需要 通过 程序 来 控制 ,这 些 程序 
的 基础 往往 是 求解 问题 的 组 合 数 学 算法 ,对 于 这 些 算法 ,运行 时 间 效 率 和 存储 需求 分 
析 需 要 更 多 的 组 合 数学 思想 。 在 现代 ,组 合 数学 的 思想 和 技巧 不 仅 在 计算 机 科学 领 
域 ,而 且 在 实验 设计 、 工 业 规划 、 电 子 通信 和 信息 安全 等 诸多 重要 领域 都 有 着 广泛 而 
重要 的 应 用 。 

组 合 数 学 是 研究 离散 结构 的 存在 、 计 数 、 分 析 和 优化 等 问题 的 一 门 学 科 。 组 合 数 
学 的 基本 问题 是 : 存在 问题 \ 计 数 问题 和 优化 问题 。 存 在 问题 研究 的 是 是 否 存 在 一 
种 特定 种 类 的 排列 ;计数 问题 研究 的 是 存在 多 少 种 排列 ;优化 问题 所 关心 的 是 在 各 种 
可 能 的 排列 中 ,选择 对 于 某 个 标准 来 说 最 好 的 排列 。 

本 章 主 要 介绍 组 合 数学 中 的 一 些 基 本 概念 和 基本 原理 ,以 及 拉丁 方 与 区 组 设计 
的 一 些 基 本 性 质 , 最 后 给 出 了 在 信息 安全 中 的 几 个 应 用 实例 。 


4.1 基本 计数 原理 、 排 列 与 组 合 


4.1.1 基本 计数 原理 


组 合 数学 的 基础 是 由 若干 基本 计数 原理 组 成 。 第 一 个 原理 是 非常 基本 的 , 它 是 
整体 等 于 其 部 分 之 和 这 一 原理 的 公式 化 。 
设 S 是 一 个 集合 ,Si ,S:,…，,S。 是 S 的 子 集合 。 如 果 Si ,S,,…,S。 满足 : 
SsS=SU SU :myUS.,. SSNs 二 = 
则 称 {Si.S;,…,S,} 构 成 集合 S 的 一 个 划分 , 子 集 S1 ,S: ,…,S。 称 为 该 划分 的 部 分 。 
集合 S 的 元 素 个 数 表 示 为 1S| ,也 称 为 S 的 大 小 。 
加 法 原理 ” 设 {Si,S,,…,S,} 是 集合 S 的 一 个 划分 , 则 要 确定 S 中 事物 的 个 数 ， 
可 先 求 出 各 部 分 S1 ,S* ,…:S。 中 事物 的 个 数 然后 加 起 来 , 即 
| S | 一 | Si | 十 | Sz: | 十 … 十 | S。 | 
这 里 需要 说 明 的 是 ,如 果 集 合 Si ,S;,…,S 可 以 重生 .要 计算 S 中 事物 的 个 数 
则 需要 更 深刻 的 原理 容 斥 原理 ,这 个 原理 将 在 4. 2 节 中 讨论 。 
加 法 原理 的 另 一 种 表述 车 有 pp 种 方法 从 一 堆 事 物 中 选取 一 物 .而 有 g 种 方法 
从 另 一 堆 事 物 中 选取 一 物 , 则 从 两 堆 中 选取 一 物 的 方法 共有 p 十 gq 种 。 这 种 方法 可 
以 推广 到 两 堆 以 上 的 情形 。 


信息 安全 中 的 数学 方法 与 技术 


例 4.1.1 已 知 从 甲 地 到 乙 地 每 天 有 3 班 船 ,5 趟 汽车 ,2 趟 火车 和 4 班 飞机 。 
问 从 甲 地 到 乙 地 每 天 有 多 少 种 出 行 方式 。 
解 : 利用 加 法 原理 知 , 从 甲 地 到 乙 地 的 出 行 方式 共有 : 3 十 5 十 2 十 4 一 14 种 。 
乘法 原理 ”如 果 A 是 p 个 事物 的 集合 ,B 是 g 个 事物 的 集合 ,a€ A,bEB, 则 形 
如 (a,5) 的 有 序 对 的 个 数 等 于 pXg。 
乘法 原理 的 另 一 种 表述 如果 第 一 种 事物 有 p 种 选择 方式 ,并 且 不 论 第 一 个 事 
物 怎样 选择 ,第 二 个 事物 都 有 g 种 选择 方式 ,那么 同时 选择 第 一 个 事物 和 第 二 个 事物 
的 方式 共有 pXg 种 。 乘 法 原理 可 以 推广 到 任意 有 限 个 集合 上 。 
例 4.1.2 由 数字 {1,2,3,4,5,6,7,8,9} 可 以 构造 多 少 个 5 位 数 ,使 所 有 数字 或 
者 都 是 奇数 或 者 都 是 偶数 ? 
解 : 因 {1,2,3,4,5,6,7,8,9} 中 有 4 个 偶数 ,5 个 奇数 , 则 由 乘法 原理 ,得 知 
所 有 数字 都 是 奇数 的 5 位 数 的 个 数 是 
5X5X5X5X5 一 3125 
所 有 数字 都 是 偶数 的 5 位 数 的 个 数 是 : 
4X4X4X4X4 一 1024 
于 是 由 加 法 原理 ,所 有 数字 或 者 都 是 奇数 或 者 都 是 偶数 的 5 位 数 的 个 数 是 : 
3125 十 1024 一 4149 


4.1.2 集合 的 排列 
在 组 合 数学 中 ,经 常会 磁 到 由 n 个 不 同 元 素 组 成 的 集合 ,为 了 方便 , 称 它们 为 


nn 集合 。 

给 定 一 个 nn 集合 ,假设 要 从 中 挑 出 7 个 元 素 , 并 依次 排列 它们 ,这 样 的 一 个 排列 
称 为 这 个 n 集合 的 一 个 r 排列 。 用 P(n,r) 表 示 n 集合 的 x 排列 的 个 数 。 如 果 ”一 ”~， 
则 ?集合 的 一 个 排列 简称 为 n 个 元 素 的 一 个 排列 。 如 果 n 二 7r, 则 Pn,r) 二 0, 在 这 
种 情况 下 ,不 存在 n 集合 的 x 排列 。 因 此 在 以 下 的 讨论 中 ,如 不 特殊 说 明 , 都 假设 
11 全。 

定理 4.1.1 集合 的 r 排列 的 个 数 为 : PC(n,r) 二 nX(n 一 1)X…X(n 一 r 十 1)。 

证 明 : 在 构造 集合 的 一 个 x 排列 时 ,可 以 及 种 方法 选择 第 一 项 ;只 要 选 出 了 
第 一 项 ,就 有 ?2 一 1 种 方法 选 出 第 二 项 ;……; 而 只 要 选 出 了 前 一 1 项 ,就 有 nn 一 r 十 1 
种 方法 选 出 第 rr 项。 根据 乘法 原理 ,这 rr 项 可 以 有 nn 一 1) XX…X(n 一 r 十 1) 种 方 
法 选 出 , 即 

Plnsr)=nxXx nm—1)X… Xn—r++1) 

定义 n1( 读 作 的 阶乘 ) 为 

nl=nx((n—1)xX:… x2x1 
并 规定 0! 一 1。 于 是 有 


nl 
(2 一 r)1! 


对 于 "全 0, 定 义 P(n,0) 二 1, 这 与 上 式 中 x 二 0 时 的 公式 一 致 。n 个 元 素 的 排列 


Pl(n,r) 一 
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个 数 为 
Plnsn)=n! 

例 4.1.3 现 有 20 人 参加 面试 , 问 有 和 多少 种 不 同 的 顺序 安排 前 面 5 个 人 的 
面试 ? 

解 : 显然 这 是 一 个 排列 问题 ,安排 前 面 5 个 人 的 面试 共有 下 面 这 么 多 种 顺序 : 

P(20,5) = 20X 19X 18X17X16= 1860480 

例 4.1.4 一 个 校园 的 电话 分 机 有 4 位 数字 ,如 果 不 重复 使 用 数字 ,可 以 有 多 少 
部 分 机 : 

(1) 第 一 个 数字 不 能 是 0? 

(2) 第 一 个 数字 不 能 是 0 且 第 二 个 数字 不 能 是 1? 

解 : 如 果 不 考虑 (1)、(2) 的 限制 条 件 , 不 重复 使 用 数字 的 分 机 数 为 : 

P(10,4) = 10X9Xx8XxX7= 5040 

(1) 第 一 个 数字 是 0 的 分 机 可 以 有 P(9.3) 王 9X8X7 王 504 部 (因为 不 能 重复 使 

用 数字 ) ,所 以 第 一 个 数字 不 是 0 的 分 机 部 数 为 : 
P(10,4) 一 P(9,3) 一 10X9Xx8Xx7 一 9x8X7 一 4536 
(2) 同 理 , 第 一 个 数字 不 是 0 且 第 二 个 数字 不 是 1 的 分 机 部 数 为 : 
P(10,4) 一 P(8,2) 一 10X9Xx8Xx7 一 8X7 一 4984 

确切 地 说 ,刚才 讨论 的 排列 应 该 叫做 线 排列 。 因 为 是 把 元 素 排 成 一 条 线 。 如 果 
不 把 元 素 排 成 一 条 线 ,而 排 成 一 个 圆 , 那 么 排列 的 个 数 将 会 减少 。 例 如 ,123456 和 
234561 是 两 个 不 同 的 线 排列 ,但 如 果 把 它们 的 首尾 数字 向 上 连接 , 则 形成 同一 个 圆 
排列 


中 6 
总 
4 
从 这 个 例子 可 以 看 出 ,对 上 述 这 个 圆 排列 ,从 不 同 的 地 方 断 开 ,可 以 形成 6 个 不 
同 的 线 排列 ,所 以 1.2.3、4.5.6 这 6 个 数 形成 的 圆 排列 的 个 数 为 引 一 51。 一 般 地 ,有 


下 面 的 定理 。 
定理 4.1.2 集合 的 贺 排 列 的 个 数 为 : 二 2: 呈 一 天 全 。 特别 地 ,个 元 


本 
素 的 圆 排列 的 个 数 为 (一 1)1。 

证 明 : 证 明 本 质 上 已 经 包含 在 上 一 段 的 论述 中 。 设 S 是 一 个 nn 集合 ,S 的 每 
个 r 圆 排列 可 以 通过 下 面 的 方式 得 到 : 

(1) 从 S 中 选 出 x 个 元 素 做 线 排列 ,共有 PC(n.r) 种 排列 ; 

(2) 把 PQ,7) 种 线 排列 按 下 面 方法 划分 成 部 分 : 两 个 7 线 排列 在 同一 个 部 分 中 
当 且 仅 当 这 两 个 线 排列 的 首尾 数字 向 上 连接 形成 同一 个 圆 排 列 。 则 ~ 圆 排列 的 个 数 
就 等 于 这 种 划分 的 部 分 的 个 数 。 
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从 前 一 段 的 讨论 可 知 ,每 一 部 分 都 含有 7 个 7 线 排列 ,因此 ,部 分 的 个 数 就 是 
PO nl 
r rn— ry 


例 4.1.5 6 位 先生 和 6 位 女士 且 桌 就 座 , 如 果 要 求 男 、 女 交替 安排 座位 ,试问 有 
多 少 种 可 能 的 坐 法 ? 
解 : 因为 男女 交替 就 座 ,可 让 6 位 先生 先 就 座 ,然后 6 位 女士 分 别 插 在 他 们 之 
间 。6 位 先生 就 座 是 圆 排 列 问 题 ,其 排列 数 为 : (6 一 1)! 一 5!,6 位 女士 插入 (注意 此 
时 不 是 圆 排列 而 是 线 排列 问题 ) 共 有 61 种 方法 ,根据 乘法 原理 ,就 座 方 法 数 为 
51X6! 王 86400 


4.1.3 集合 的 组 合 


nn 集合 的 一 个 r 组 合 就 是 从 这 个 集合 中 不 考虑 次 序 地 取出 ~ 个 元 素 的 一 种 取 
法 。 因 此 nn 集合 的 一 个 r 组 合 就 是 这 个 集合 的 一 个 ~ 元 子 集 。 用 Cl(n,r) 表 示 nn 集合 
的 +r 组合 的 个 数 。 为 方便 起 见 ,规定 C(0,0) 二 1。 对 于 正 整 数 n, 易 知 下 列 事实 是 
正确 的 ,CC(n,0)= 二 1,C(n,1) 二 n,Cln,n) 二 1。 另 外 ,如 果 n= 二 0 且 r 是 正 整 数 , 则 
CC(0,7) 二 0。 特 别 要 说 明 的 是 ,如 果 7 二 nn, 则 Cn,r) 二 0, 在 这 种 情况 下 ,不 存在 集 
合 的 + 组合。 因此 在 以 下 的 讨论 中 ,如 不 特殊 说 明 ,都 假设 "全 ~。 

定理 4.1.3 对 于 0 二 rn,P(n,7) 二 Cln,r)XP(r,7), 因 此 CCazr) 一 


nl 
Rl? 


证 明 : 设 S 是 一 个 n 集合 ,S 的 每 一 个 ~ 排列 可 以 通过 下 面 的 方式 得 到 : 
(1) 从 S 中 选 出 -~ 个 元 素 , 共 有 C Ge 
(2) 将 所 选 出 的 -个 元 素 以 某 种 顺序 排列 ,共有 Wd 


由 乘法 原理 ,有 Pn,7r) 二 Cn.r)X P(r,r) ,再 利用 公式 Pn,r) 二 一 一 一 ,得 到 


(nO— ST 
Pln.r) nl! 
Prory 和 

例 4.1.6 设 空间 有 25 个 点 ,其 中 任意 4 个 点 都 不 共 面 。 问 它们 能 确定 多 少 个 
三 角形 ? 多 少 个 四 面体 ? 

解 : 由 于 没有 4 个 点 共 面 ,所 以 不 可 能 有 3 个 点 共 线 ,因而 任何 3 个 点 都 可 以 组 
成 一 个 三 角形 ,任何 4 个 点 都 可 以 组 成 一 个 四 面体 。 于 是 25 个 这 样 的 点 所 构成 的 三 
角形 的 个 数 为 : 


Cln,r) 


251 


C25,3) 一 31088331 一 2300 
25 个 这 样 的 点 所 构成 的 四 面体 的 个 数 为 : 
Ee 251 二 
C25,4) = T1085 a1 一 12650 


定理 4.1.4 对 于 0 委 r 委 "”,C(Czr) 一 CCz ,7 一 r) 。 


nl! nl 


ria—r)! (Ca—r)!l[Ln— (nC—r)j! 


证 明 : Cl(n,r) 


下 入 所 竹下 
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产 饶 72 一 天) 


说 明 : 数 二 LT 也 可 记 为 {“], 称 为 二 项 式 系数 ,这 是 因为 这 个 数 出 现在 二 项 


式 展开 式 中 (参见 定理 4.1.9)。 数 ”] 有 许多 重要 的 性 质 ,将 在 4.1.6 小 节 中 进行 
讨论 。 
4.1.4 重 集 的 排列 


重 集 类 似 于 集合 ,只 是 它 的 成 员 不 必 是 不 同 的 。 例 如 , 重 集 M= {a,a,a,a,b,b， 
cscscsd,d}y 有 11 个 元 素 : 4 个 a,2 个 5,3 个 c,2 个 4。 也 可 采用 指明 不 同 元 素 出 现 
的 次 数 来 表示 一 个 重 集 ,于 是 M 也 可 用 {4.，a,2。b,3。c,2。d} 来 表示 ,其 中 的 4、2、 
3、2 分 别 是 重 集 M 中 元 素 的 重复 数 , 一 般 情况 下 ,通过 上 下 文 就 足以 断定 表达 式 中 
的 圆 点 是 表示 重 集 元 素 的 重复 数 还 是 相 乘 。 集合 就 是 所 有 重复 数 都 等 于 1 的 重 集 。 当 
没有 关于 事物 重复 数 的 限制 时 ,允许 重 集中 的 事物 出 现 无 限 多 次 。 例 如 ,a 和 出现 无 
限 多 次 ,而 5 和 4 分别 出 现 4 次 和 7 次 的 重 集 表 示 为 {co a,4，b,5oO，c,7。d})。 

设 S 是 重 集 , 则 S 的 一 个 x 排列 就 是 S 中 个 元 素 的 一 个 有 序 排列 。 

定理 4.1.5 设 S 是 包含 k 个 不 同 元 素 而 每 个 元 素 都 具有 无 限 重复 数 的 重 集 ， 
则 S 的 > 排列 的 个 数 是 k"。 

证 明 : 在 构造 S 的 x 排列 时 ,第 一 项 有 上 种 选 法 ,第 二 项 有 上 种 选 法 ,…… ,第 
六 项 也 有 A 种 选 法 ,而 每 一 项 的 选择 不 依赖 于 前 一 项 的 选择 。 由 乘法 原理 ,r 个 项 有 
k" 种 选 法 。 

例 4.1.7 有 3 种 不 同 颜色 的 球 . 假 设 每 种 颜色 的 球 都 有 足够 多 。 现 在 把 这 些 
球 放 人 4 个 不 同 的 盒子 里 ,要 求 每 个 盒子 放 人 且 只 能 放 人 一 个 球 。 问 有 多 少 种 放 人 
的 方法 ? 

解 : 把 这 3 种 不 同 颜色 的 球 分 别 用 1、2、3 来 表示 , 则 这 个 问题 可 以 看 成 是 求 重 
集 {cc。1,cce。2,cc。3} 的 4 排列 的 个 数 。 由 定理 4.1.5, 这 个 数 等 于 : 3 一 81。 

现在 来 计算 每 个 元 素 具 有 有 限 重 复数 的 重 集 的 排列 。 

定理 4.1.6 设 S 是 具有 有 限 重复 数 nn ,ns,…,ns 的 重 集 且 n= 二 4 十 nz 十 … 十 44， 


则 S 的 元 素 的 排列 个 数 等 于 一 一 人 


721 1722 1 7 1 
证 明 : 设 重 集 S 有 A 个 不 同 的 元 素 ai ,az ,…:,ax ,其 重复 数 分 别 为 mm ,ns ，*… snk， 
因此 S 共 有 == 十 ns 十 … 十 ms 个 元 素 。 需 要 确定 这 个 元 素 的 排列 个 数 。 假 设 有 
n 个 位 置 ,现在 要 把 S 中 的 nn 个 元 素 放 入 这 个 位 置 。 先 放 al, 因 S 中 有 个 ,所 
以 要 从 这 个 位 置 中 选 出 i 个 位 置 放 wa :共有 Ctn.nm) 种 选 法 。 其 次 放 az ,要 从 剩 
下 的 7 一 站 个 位 置 中 选 出 ni 个 位 置 放 az :共有 Cn 一 m,nz) 种 选 法 。 接 着 从 它 的 
n 一 m1 一 nz 个 位 置 中 选 出 n; 个 位 置 放 as ,共有 Cn 一 一 ns,ns) 种 选 法 。 如 此 做 下 

去 并 利用 乘法 原理 .得 到 S 的 排列 个 数 为 

Cam))Cn—n nz Cn 一 1 一 113) -CC 一 11 OO— nO— nln) 


nl! (nO—m)! 
mln—n)! nlna—n CD—n)! 
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(n=— i =— 7 (Cn— nn 


7231(7 一 7 一 ?2 一 723)1 5 


nl 


mlnz 1 7 1 
例 4.1.8 节日 期 间 某 大 楼 上 挂 着 15 面 彩旗 ( 排 成 一 行 ), 其 中 红 、 黄 、 蓝 、 绿 、 紫 
各 3 面 。 问 这 些 彩 旗 共 有 多 少 种 排列 方式 ? 若 不 允许 有 两 面 蓝 旗 相 邻 , 问 有 多 少 种 
排列 方法 ? 
解 : 15 面 彩旗 可 以 看 成 重 集 S 二 {3 .aua,3 .46,3。c,3。d,3。e}), 由 定理 4.1.6 
知 其 排列 方法 数 为 


若 有 两 面 蓝 旗 相 邻 , 则 可 以 把 这 两 面 旗子 看 作 一 面 .而 一 面 蓝 旗 又 可 以 与 其 余 两 
面 蓝 旗 中 的 任何 一 面相 邻 , 于 是 其 排列 数 为 


14! _ 14! 
2X 3131213131 一 67 


但 在 上 面 的 计算 中 ,把 三 面 蓝 旗 相 邻 的 情况 多 计算 了 一 次 ,而 三 面 蓝 旗 相 邻 的 排列 
数 为 
131 131! 
3131113431 6 

因此 ,没有 两 面 蓝 旗 相 邻 的 排列 数 为 

1 

65 本 64 

若 7 二 n, 则 一 般 情况 下 不 存在 计算 S 的 x 排列 个 数 的 简单 公式 。 但 通过 使 用 生 

成 函数 的 技巧 可 以 得 到 问题 的 解 , 有 兴趣 的 读者 可 参考 文献 [1]。 在 某 些 情况 下 可 以 


像 下 面 的 例子 那样 讨论 。 
例 4.1.9 设 S=(3. av:,2.0.4。c} 是 含有 9 个 元 素 的 重 集 , 求 S 的 8 排列 
个 数 。 


解 : S 的 8 排列 可 分 成 3 个 部 分 求 : 


(1) Si 一 SN\{e} 一 (2 .2。0.4 “中 的 8 排列 个 数 末 2 一 420; 
(2) S,=S\{6}={3 a,l .6b,4e 0 ee 280; 
(3) Ss 三 S\{c}) 二 {3，a,2，b,3，c) 的 8 排列 个 数 二 5 二 560。 


5 
因此 S 的 8 排列 个 数 为 : 420 十 280 十 560 一 1260 。 


4.1.5 重 集 的 组 合 


设 S 是 重 集 , 则 S 的 一 个 ~ 组 合 就 是 从 S 中 不 计 次 序 地 选取 -~ 个 元 素 。 于 是 
S 的 一 个 ~ 组 合 本 身 也 是 一 个 重 集 (S 的 子 重 集 ) 。 
定理 4.1.7 设 S 是 包含 A 个 不 同 元 素 而 每 个 元 素 具 有 无 限 重复 数 的 重 集 , 则 
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S 的 -组 合 的 个 数 等 于 CCR 一 1 十 rr) 。 

证 明 : 设 重 集 S$ 王 {ce。 ai,co .as,…,cco。ar}) ,其 中 oa, ,as 互 不 相同 。 则 
S 的 任 一 个 r 组 合 形 如 {zi， a1 ,x2*， as，…… ,Ti * ar) ,其 中 zz ,x2，… ,zs 为 非 负 整数 ， 
且 zi 十 zs 十 … 十 zx 一 r。 反 之 ,满足 zi 十 zs 十 … 十 zx 一 r 的 非 负 整数 的 每 个 序列 zi ， 
zz 对 应 S 的 一 个 ~ 组合。 因此 ,~ 组 合 的 个 数 等 于 方程 zi 十 zs 十 … 十 xz 二 
r 的 非 负 整数 解 的 个 数 。 下 面 证 明 , 这 些 非 负 整数 解 的 个 数 等 于 重 集 工 一 (-，1， 
Ck 一 1)。0} 的 排列 的 个 数 。 

给 定 的 一 个 排列 ,这 & 一 1 个 0 把 > 个 1 分 成 组 。 设 有 zi 个 1 在 第 一 
0 的 左边 ,zs 个 1 在 第 一 个 0 和 第 二 个 0 之 间 ,…… ,zh 个 1 在 最 后 一 个 0 的 右边 ， 网 
TI19，T2 9， ”9 为 非 负 整数 且 zi 十 zz 十 … et 反之 ,名 给 定 非 负 整 数 TI1，T2，” ”9TA 
且 满 足 zi 十 zz 十 … 十 一 r* 按 与 上 面相 反 的 步骤 可 以 构造 出 工 的 一 个 排列 。 于 
重 集 S 的 -组合 的 个 数 等 于 重 集 T 一 4 。，1,(A 一 1)。0)} 的 排列 的 个 数 。 由 定理 4.1.6 
知 , 工 的 排列 个 数 等 于 

hl yy | 
ho— llr! 

例 4.1. 10 一 家 面包 房 生产 6 种 不 同 的 面包 ,如 果 要 买 一 打 (12 只 ) 面 包 , 可 有 
多 少 种 不 同 的 选择 方案 ?如果 还 要 求 每 种 面包 至 少 选择 一 个 ,有 多 少 种 选择 方案 ? 
这 里 假定 面包 房 每 种 面包 的 数量 远 远 大 于 12 只 。 

解 : 面包 房 的 面包 可 以 表示 为 : S 一 {cco。ai:co。a:,…:cco。ai}, 每 一 打 面 包 相 
当 于 S 的 一 个 12 组 合 , 由 定理 4.1.7 知 , 买 一 打 面 包 的 选择 方案 数 为 

C(6 一 1 十 12.12) = 6188 
由 定理 4.1.7 的 证 明知 ,每 种 面包 至 少 选 择 一 个 的 选择 数 等 于 方程 
站 

的 正 整 数 解 的 个 数 。 作 变量 替换 


V1 Ti 1 ,yz 2 1，……，y6 Zé 1 


=C(E—1+rr) 


则 上 面 的 方程 变 为 
yi 十 ye 十 … 十 6 一 6 

这 里 w ,yz*,…,ys 是 非 负 整数 。 由 定理 4.1.7 知 ,新 方程 的 非 负 整数 解 的 个 数 为 
C(6 一 1 十 6,6) 一 462 

所 以 买 一 打 面 包 且 每 种 面包 至 少 选 择 一 个 的 选择 方案 为 462 种 。 


4.1.6 二 项 式 展开 


在 4.1. 3 小 节 中 曾 对 所 有 非 负 整 数 & 入 定义 了 二 项 式 系数 | : 并 且 已 知 下 


面 的 结果 ， 人” ] 1.(") 人 1; 若 0 是 4 为 正 整数 , 则 {。] 一 0 着 > 全 风 


72 nn i 72 n 
一 0; 对 0<k<n， ml , 
() OO ESS 网 Ee 网 (人 
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定理 4.1. 8(Pascal 公式 ) ”对 于 满足 1 过 As 生 " 一 1 的 整数 k 和 ,有 
人 人 侠 | 
一 十 
k k k—1 
证 明 : 证 明 这 个 恒等式 的 一 种 方法 是 直接 代 人 公式”] 一 0" 输 证 等 式 
两 边 是 否 相 等 即 可 。 
下 面 给 出 一 个 组 合 证 法 。 令 S 是 一 个 nn 集合 ,a 是 S 中 的 一 个 元 素 。 现 在 利用 
a 把 S 的 & 组 合集 TT 划分 成 两 部 分 A 和 B, 其 中 A 包含 S 的 所 有 不 含 a 的 & 组 合 ， 


n 


B 包 含 S 的 所 有 含 a 的 & 组 合 。 则 由 加 法 原理 ,1T|==1A| 十 1B|。 显然:ITI 一 [4 而 


| 
和 A 中 的 组 合 可 以 看 作 ， 一 1 个 元 素 的 集合 S\{e} 中 的 人 组 合 ,因此 ,1AI 一 人 
BB 中 的 k 组 合 可 以 看 作 把 a 添加 到 一 1 个 元 素 的 集合 S\ta} 中 的 & 一 1 组 合 中 得 到 
= 寺 
的 ,因此 ,1B| 一 [ ]- 结合 以 上 事实 有 


n 
Eo—1 
(4 | (一 
一 村 
k k 六 二 省 
利用 Pascal 公式 和 初始 值 [”] 一 1 和 人 ] 10 ,可 以 容易 地 求 出 二 项 式 系 
7 
数 , 而 不 必 借 助 于 定理 4. 1.3 中 的 公式 。 
定理 4.1.9( 二 项 式 展开 ) 对 于 n 宇 0, 有 (a 十 0" 一 Sl pies 
k=0 
证 明 : 这 个 定理 的 一 个 证 明 是 利用 归纳 法 并 应 用 Pascal 公式 。 下 面 给 出 一 个 组 
合 证 法 。 因 为 
(CQ 6b)”" (十 DO)(Ca 十 0)… (十 DO) 


7 
把 这 个 乘积 展开 直到 没有 括号 为 止 ,由 于 每 个 因子 (a 十 5) 可 以 选择 a 或 5b, 其 结果 有 
2" 项 上 且 每 项 具有 形式 a*b"”“(k 一 0,1,…,n)。 注 意 到 ,为 了 得 到 a"”*, 需 从 nn 个 


(Ca 十 念 中 选 出 不 个 a ,在 剩 下 的 因子 中 选 出 4 这 种 选 法 共有 |] 种 . 因此 ,a%p”* 在 
展开 式 中 出 现 ”) 次 。 于 是 
= (nn 
(a+6)" 一 p31 


下 面 给 出 二 项 式 展开 式 的 一 些 应 用 。 在 定理 4.1.6 中 , 若 取 “一 2 一 1: 得 到 


n n n 
el -ss 
0 1 nn 


若 取 4a 一 1,6 一 一 1, 得 到 


第 4 章 组合 论 方法 与 技术 


由 上 式 易 得 


CE >。 
这 一 式 子 可 以 解释 为 : 从 nn 个 对 象 中 选取 偶数 个 对 象 的 方法 数 等 于 选取 奇数 个 对 象 
的 方法 数 。 


4.2 ”人 馈 巢 原理 、 容 斥 原理 及 其 应 用 


4.2.1 人 蚀 梨 原理 


定理 4.2.1( 铝 巢 原 理 的 简单 形式 ) ”如 果 把 nn 十 1 个 物品 放 入 nn 个 盒子 里 ,那么 
至 少 有 一 个 盒子 包含 两 个 或 两 个 以 上 的 物品 。 

证 明 : 反 证 。 如 果 这 个 盒子 中 的 每 一 个 至 多 包含 一 个 物品 ,那么 物品 的 总 数 
至 多 是 n。 而 有 nn 十 1 个 物品 ,所 以 至 少 有 一 个 盒子 包含 至 少 两 件 物品 。 

例 4.2.1 给 定 mm 个 整数 qi,as，…,awm, 必 存在 整数 有 和 1,0 三 k 二 /三 m, 使 得 
axti 十 ar+2 十 … 十 al 能 够 被 mr 整除 。 

证 明 : 考虑 mm 个 和 

ayal 十 azyal 十 as 十 aal 十 as 十 as 十 … 十 am 

如 果 这 些 和 中 的 有 一 个 能 被 m 整除 ,那么 结论 成 立 。 因 此 可 以 假设 这 些 和 中 的 任 一 
个 都 不 能 被 m 整除 ,那么 它们 除 以 mx 的 余数 只 能 为 1,2,….m 一 1。 因 为 存在 x 个 
和 而 只 有 mm 一 1 个 余数 ,所 以 申 鸽 梨 原 理 , 必 有 两 个 和 除 以 和 2 的 余数 相同 , 即 存在 整 
数 & 和 !,& 一 ,使 得 wa 十 az 十 … 十 cx 和 ai 十 az 十 … 十 o 除 以 mx 有 相同 的 余数 ,于 是 
它们 的 差 能 被 m 整除。 即 arti 十 ar+s 十 … 十 al 能 被 m 整除 。 

对 任意 实数 z, 令 Lz 诸 示 不 大 于 zx 的 最 大 整数 , 称 为 xz 的 弱 取 整 , 令 [x 诬 示 不 小 
于 xz 的 最 小 整数 , 称 为 xz 的 强 取 整 。 

定理 4.2.2( 铝 梨 原 理 的 加 强 形式 ) ”如 果 把 xm 个 物品 放 入 k 个 盒子 里 ,那么 至 
少 有 一 个 盒子 包含 的 物品 数 超过 

| 
k 


一 二 
证 明 : 如 果 每 个 盒子 里 的 物品 数 至 多 是 | “|, 那么 物品 的 总 数 至 多 


m1 


是 &| 一 二 ,而 


= 并 运 
疝 | |<#2 m1 


蔬 盾 .所 以 至 少 有 一 个 盒子 包含 的 物品 数 超过 | “二 |。 
例 4.2.2 如 果 一 个 房间 里 有 40 人 ,那么 至 少 有 几 个 人 的 生日 在 同一 月 份 ? 
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解 : 此 问题 相当 于 把 40 个 物品 放 入 12 个 盒子 里 ,那么 至 少 有 一 个 盒子 包含 的 
物品 数 超过 | 2 | 一 3。 所 以 至 少 有 3 个 人 的 生日 在 同一 月 份 。 

例 4.2.3 证 明 每 个 由 巡 十 1 个 实数 构成 的 序列 al ,as ,… ,az+i 或 者 含有 长 度 
为 2 十 1 的 递增 子 序 列 ,或 者 含有 长 度 为 2 十 1 的 递减 子 序列 。 

证 明 : 在 证 明之 前 先 给 出 子 序列 的 概念 。 如 果 ai ,as,… ,a 是 一 个 序列 ,那么 
9 ，… ,ai 就 是 一 个 子 序列 ,其 中 1 委 i 一 zi 一 … 一 才 委 和 加。 若 子 序列 Ca ya 
号 满足 ai 三 ai, 三 … 三 qi 则 称 为 递增 的 ,满足 ai 二 ao 过 …… 全 必 则 称 为 递减 的 。 下 面 
给 出 这 个 例子 的 证 明 。 

假设 不 存在 长 度 为 2 十 1 的 递增 子 序列 ,现在 就 来 构造 长 度 为 2 十 1 的 递减 子 序 
列 。 对 每 一 个 4 一 1,2,…:, 好 十 1, 令 ma 为 从 ax 开始 的 最 长 的 递增 子 序列 的 长 度 。 
由 假设 知 mmr 三 nn, 而 mr 三 1 对 每 一 个 上 二 1,2,… ,mw 十 1 都 成 立 , 因 此 1 三 mm ,mms ,…， 


Qi 


maz+1 寺 n。 又 el 二 n, 则 由 定理 4.2.2 知 ,za ,zz ,…… ,722+1 中 至 少 有 7 十 1 个 数 
是 相等 的 。 令 
ma = me = "= mn 
其 中 1 二 三 … 过 kr 二 mw 十 1。 假 设 存在 某 个 i(i 二 1,2，,…,n) ,使 得 au 天 ant 。 
因为 名 二 ,可 以 把 从 a ,开始 的 最 长 递增 子 序列 的 前 面 再 加 上 一 项 a ,得 到 一 
个 从 wx 开始 的 递增 子 序列 ,其 项 数 为 mi 十 1 所 以 mm 这 ms, ,与 mi 一 mw, 蔬 盾 。 
因此 a 三 ar， ,对 于 每 个 ;一 1,2,…, 都 成 立 。 于 是 得 到 一 个 长 度 为 十 1 的 递减 
子 序列 , 即 
ee | 
最 后 给 出 铝 梨 原理 的 一 般 形式 , 即 下 面 的 定理 4. 2. 3。 
定理 4.2.3 令 »q2 ，… ,gn 为 正 整数 。 如 果 将 
bp Mn lf er ett st /i 
个 物品 放 入 n 个 盒子 里 ,那么 或 者 第 一 个 盒子 至 少 含有 gi 个 物品 ,或 者 第 二 个 盒子 
至 少 含有 gz 个 物品 ,……… ,或 者 第 个 盒子 至 少 含 有 g, 个 物品 。 
证 明 : 将 gi 十 qz 十 … 十 qn 一 n 十 1 个 物品 放 入 个 盒子 里 ,如 果 对 每 一 个 i(i 二 1， 
2,…,n) ,第 ;个 盒子 所 含 的 物品 少 于 qi :那么 所 有 盒子 的 物品 总 数 不 超过 
二 
该 数 比 所 要 分 发 的 物品 少 1。 因 此 存在 某 个 i(i 二 1,2,…,n) ,使 得 第 ;个 盒子 里 至 少 
包含 qi 个 物品 。 


之 ab 之 … 之 ant 


4.2.2 Ramsey 定理 


下 面 叙 述 铝 巢 原 理 的 一 个 深刻 且 重 要 的 推广 ,但 不 予以 证 明 , 其 证 明 参 见 文 
献 L3] 。 

定理 4.2.4 设 gqi,g:，…,g,t 是 正 整 数 , 且 gi 之 t,g; 宇 1,…,g, 宇 t, 则 存在 一 个 
正 整 数 , 从 而 存在 最 小 的 正 整 数 N (gi ,qs ,…,g,;t), 它 仅 依 赖 于 qi ,gs，…,g, 和 zt, 并 
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具有 下 面 的 性 质 : 如 果 mm 三 NC(qi,gs，…,qn;t) 且 S 是 mm 个 元 素 的 集合 ,把 S 的 上 元 
子 集 分 布 在 nn 个 盒子 里 ,那么 或 者 有 gi 个 元 素 使 它们 的 全 部 1 元 子 集 都 分 布 在 第 一 
个 盒子 里 ,或 者 有 as 个 元 素 使 它们 的 全 部 zt 元 子 集 都 分 布 在 第 二 个 盒子 里 ,…… ,或 
者 有 gq, 个 元 素 使 它们 的 全 部 上 元 子 集 都 分 布 在 第 ”个 盒子 里 。 

数 NCal ,qz ,qit) 称 为 Ramsey 数 。 确 定 Ramsey 数 是 一 个 困难 的 问题 ,关于 
这 些 数 有 很 少 的 研究 结果 。 已 知 NC3.3;2) 一 6, 对 于 这 种 情况 ,Ramsey 定理 可 以 叙 
述 如 下 ,这 也 是 Ramsey 定理 最 简单 的 情况 。 

定理 4.2.5 假设 在 6 个 人 中 间 每 两 个 人 或 者 是 朋友 或 者 是 敌人 人。 那么 或 者 有 
3 个 人 互 为 朋友 ,或 者 有 3 个 人 互 为 敌人 。 

证 明 : 设 < 是 6 个 人 中 间 的 任 一 人 :, 现 把 剩 下 的 5 人 分 成 两 个 集合 ,A 表示 与 


< 是 朋友 的 人 所 成 集合 ,B 表示 与 4 是 敌人 的 人 所 成 集合 。 因 | 5- | 一 2( 在 定 


理 4.2.2 中 取 和 2 一 5,A 一 2), 则 由 定理 4. 2.2, 在 剩 下 的 5 人 中 ,或 者 有 3 人 或 更 多 的 
人 是 a 的 朋友 ,或 者 有 3 人 或 更 多 的 人 是 a 的 和 天 人。 首先 假设 bc.d 是 a 的 朋友 , 若 
bc.d 中 有 两 人 是 朋友 ,那么 这 两 人 与 a 组 成 互 为 朋友 的 3 人 组 : 若 2.c、cd 中 任 两 个 
人 都 不 是 朋友 ,那么 5、c、d 就 形成 一 个 互 为 敌人 的 3 人 组 bc.d 是 a 的 敌人 时 可 类 
似 证 明 。 

Ramsey 定理 在 实际 中 有 许多 有 趣 的 应 用 .有 兴趣 的 读者 可 以 参见 文献 L7] 。 


4.2.3 容 斥 原理 


下 面 介绍 另 一 个 基本 的 计数 工具 
理 的 基本 思想 。 

例 4.2.4 假设 有 25 名 求职 者 ,其 中 12 人 有 计算 机 编程 技术 ,7 人 有 计算 机 硬 
件 技术 ,2 人 既 有 计算 机 编程 技术 又 有 计算 机 硬件 技术 。 问 这 些 人 中 有 多 少 人 既 没 
有 计算 机 编程 技术 也 没有 计算 机 硬件 技术 ? 

解 : 为 了 知道 有 多 少 人 既 没有 计算 机 编程 技术 也 没有 计算 机 硬件 技术 ,就 要 从 
25 人 中 减 去 有 编程 技术 的 12 人 ,再 减 去 有 硬件 技术 的 7 人。 但 这 样 就 把 既 有 编程 
技术 又 有 硬件 技术 的 2 人 减 去 了 两 次 ,因此 必须 把 这 两 人 再 加 回去 。 于 是 既 没 有 计 
算 机 编程 技术 也 没有 计算 机 硬件 技术 的 人 数 为 

25 一 12 一 7 十 2 一 8 


容 斥 原理 。 先 通过 一 个 例子 来 介绍 这 一 原 


现在 来 扩展 上 述 的 推理 。 
令 S 是 物体 的 有 限 集 ,Pi .,P;,….P 是 S 的 物体 所 涉及 的 m 个 性 质 。 又 令 
A; 一 {z:z 在 S 内 且 xz 具有 性 质 P;}， i = 1,2,*…,m 


是 S 的 具有 性 质 P; 的 物体 构成 的 子 集 。 因 此 A; 门 A; 是 同时 具有 性 质 P; 和 P; 的 
物体 构成 的 子 集 .A; 门 Aj 门 A 是 同时 具有 性 质 P;、P; 和 P; 的 物体 构成 的 子 集 等 。 
哪个 性 质 都 不 具有 的 物体 构成 的 子 集 是 Ai 败 A;, 门 … 门 A,。 

定理 4.2.6( 容 斥 原 理 ) ” 有限 集 S 的 不 具有 性 质 Pi,P;,…,P 的 物体 的 个 
数 为 


3 
ez 信息 安全 中 的 数学 方法 与 技术 


| A， NA:NMN-…NA,l| 
=|S|I—-21AlI+2OIANAI— IANANA:| 
wD Nn (4.1) 
其 中 ，>) | A; | 是 对 们 ,2,…,m) 中 的 所 有 整数 i 求 和 ; >) | A; 门 Aj| 是 对 
{1,2,…,m) 中 的 所 有 2 组 合 {i,j}) 求 和 ; >) | A; 站 Aj 由 As | 是 对 (1,2,…,m}) 中 的 
所 有 3 组 合 {i,j,k) 求 和 等 。 

证 明 : 因为 等 式 左边 表示 S 中 不 具有 性 质 P, ,Ps,…,P 的 物体 的 计数 ,所 以 只 
需要 证 明 S 中 不 具有 性 质 P, ,Ps,…,P, 的 每 一 个 物体 在 等 式 右边 正好 被 计数 1 次 ， 
而 至 少 具 有 其 中 一 个 性 质 的 每 一 个 物体 在 等 式 右 边 正 好 被 计数 0 次 。 

首先 假设 物体 z 不 具有 性 质 P,, P,,…,P,, 那 么 它 在 1S| 中 被 计数 1 次 ,但 在 
DD: .DA .PI .DCR ES 币 者 
不 被 计数 。 因 此 它 在 等 式 右边 正好 被 计数 1 次 。 

现 假设 物体 z 至 少 具有 性 质 P, ,P, ,…,P, 中 的 一 个 ,不 妨 假 设 z 恰好 具有 了 Pi， 


PP。 中 的 个 ,其 中 1, 则 xz 在 |S| 中 被 计数 1 次 .1=(”]。 由 于 之 愉 好 且 


及 个 性 质 ,因此 它 在 忆 | A | 中 恰好 被 计数 ， 次, 一人? .又 由 于 从 ”个 性 质 中 


n 


取出 两 个 性 质 的 取 法 有 [”] 种 ,因此 它 在 如 | A, mA, | 中 正好 被 计数 (”] 次 . 同 理 ， 


< 在 忆 14 A mA | 中 正好 被 计数 | 次 等 .于 是 ,x 在 等 式 (4. 1) 右 边 正好 被 计数 


n n n n nn 
Haare en 
次 。 因 为 n 三 mm, 所 以 它 等 于 
n nn n n nn 
(六 Cj CC CE … 十 ( 网 (1 一 1)" 一 0 
因此 ,如 果 工 至 少 具 有 性 质 Pi.,P;,…,P; 中 的 一 个 , 它 在 等 式 (4.1) 右 边 正 好 被 计数 
0 次 。 于 是 等 式 (4. 1) 成 立 。 
推论 4.2.1 有 限 集 S 中 至 少 具有 性 质 Pi ,Ps,…,P 之 一 的 物体 的 个 数 为 
IAUA:U-…UA,| 
=D1IAI—-DIANAI+DIANANA, | 
二 一 十 (一 D1 |A1NA:N-…NA,| 
例 4.2.5 求 从 1 一 1000 不 能 被 5.6、8 整除 的 整数 个 数 。 
解 : 为 方便 起 见 用 lcm 表示 整数 的 最 小 公 倍 数 。 令 S 表示 前 1000 个 正 整数 组 
成 的 集合 ,Pi 表示 具有 能 被 5 整除 的 性 质 , P。 表示 有 具有 能 被 6 整除 的 性 质 ,P， 表示 
具有 能 被 8 整除 的 性 质 ,Ai(i 二 1,2.3) 表 示 S 中 具有 性 质 P; 的 整数 组 成 的 集合 。 于 
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是 本 题 就 是 要 求 |Ai 门 A; 门 A; | 等 于 多 少 。 
显然 ,| A， [=| |=200, 14:1=|~6~ 一 166 ,| As: | 一 二 ?|=-125。 


而 集合 A; 站 A, 中 的 整数 可 同时 被 5 和 6 整除。 但 一 个 整数 同时 被 5 和 6 整除 
当 且 仅 当 它 能 被 lim{5,6} 王 30 整除 ,因此 


| 


[下 全 半 全 | [2 二 
和 | es 二 
Pali a = CE [2 如 |= 4 
同 理 
1A NA NA l= remiss) [120|=s 


由 容 斥 原理 从 1 一 1000 不 能 被 5.6、8 整除 的 整数 个 数 为 
1A1NA,.NA;|= 1000 一 (200 十 166 十 125) 十 (33 十 25 十 41) 一 8 
一 600 
例 4.2.6 称 两 个 整数 是 互 素 的 ,如 果 它 们 没有 大 于 1 的 公约 数 。 问 1 一 1000 
之 间 有 多 少 个 整数 与 100 互 素 ? 
解 : 因为 100 二 2? XxX5? ,整除 100 的 素数 只 有 2 和 5, 所 以 只 要 找 出 1 一 1000 之 间 
不 能 被 2.5 整除 的 整数 的 个 数 即 可 。 利 用 容 斥 原理 容易 算出 这 个 数 为 400。 


4.2.4 重复 组 合 
在 4.1.3 小 节 和 4.1.5 小节 中 ,已 经 证 明 nn 个 不 同 元 素 的 集合 的 r 组 合 的 个 数 
为 ("]. 县 有 & 种 不 同 元 素 且 每 种 元 素 都 有 无 限 重 复数 的 重 集 的 ~” 组 合 的 个 数 为 


We 本 节 利 用 容 斥 原理 给 出 一 种 方法 来 求 出 对 于 重 数 没有 任何 限制 的 重 集 


的 rr 组合 的 个 数 。 下 面 通过 一 个 特殊 的 例子 来 讨论 ,但 对 一 般 情况 这 个 方法 也 是 有 
效 的 。 
例 4.2.7 确定 重 集 T=={3。a,4。，65,5。，c} 的 10 组 合 的 个 数 。 
解 : 做 重 集 T* = 二 {co .acc .pco.c), 令 SS 表示 下 的 所 有 10 组合 组 成 的 集 
合 ,P, 是 T* 的 10 组 合 具 有 多 于 3 个 a 的 性 质 , Ps 是 T* 的 10 组合 具 有 多 于 4 个 
5 的 性 质 ,P， 是 T* 的 10 组 合 具 有 多 于 5 个 c 的 性 质 。 同样, 令 A;(i 二 1,2,3) 表 示 由 
T* 中 具有 性 质 P; 的 所 有 10 组 合 构 成 的 集合 。 因 此 ,要 确定 本 的 10 组 合 的 个 数 ,只 
要 求 出 |Ai 门 A; 门 A; | 等 于 多 少 即 可 。 由 容 斥 原理 
lA Mas MM Rs | 
一 | S | 一 (| Ai | 十 | 4A: |+|lA:1)+(ANA; llIANA;, | 
+| A: NM A; |) —| A: NM A;: NM A; | 
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由 定理 4.1.7 


1s|= Ws (= 人 
10 10 
已 知 Al 表示 a 至 少 出 现 4 次 的 T* 的 所 有 10 组 合 构 成 的 集合 。 如 果 任 取 A 中 的 
一 个 10 组 合并 从 中 去 掉 4 个 a, 那么 就 得 到 T* 的 一 个 6 组合。 反之 ,如 果 任 取 TT* 
的 一 个 6 组 合并 往 里 加 入 4 个 a, 就 得 到 T* 的 一 个 a 至 少 出 现 4 次 的 10 组 合 。 
此 ,A 中 的 10 组 合 的 个 数 就 等 于 T* 的 6 组合 的 个 数 。 于 是 


(人 -= 


同 理 ,A。 中 的 10 组 合 的 个 数 就 等 于 T* 的 5 组 合 的 个 数 ,As 中 的 10 组 合 的 个 数 就 
等 于 T* 的 4 组 合 的 个 数 。 因 此 


we 
Ar 人 -s 


类 似 地 ,已 知 Al 门 As 表示 a 至 少 出 现 4 次 且 4 至 少 出 现 5 次 的 T* 的 所 有 
10 组 合 构成 的 集合 。 如 果 任 取 Ai 门 A* 中 的 一 个 10 组 合并 从 中 去 掉 4 个 a 和 5 个 
0 那么 就 得 到 T* 的 一 个 1 组 合 。 反 之 ,如 果 任 取 T* 的 一 个 1 组 合并 往 里 加 入 4 个 
a 和 5 个 5, 就 得 到 T* 的 一 个 a 至少 出 现 4 次 且 5 至 少 出 现 5 次 的 10 组合。 因此 ， 
Ai 站 A, 中 的 10 组 合 的 个 数 就 等 于 T* 的 1 组合 的 个 数 。 于 是 


1A1N A: |= (一 = 人 =。 


1 1 
同 理 ,A: 站 As 中 的 10 组 合 的 个 数 就 等 于 T* 的 0 组 合 的 个 数 ,并 且 在 A: 门 As 中 没 


有 10 组合。 于 是 
人 和 一 肖 2 
Inal=[ > |=(0)=i 


1A: NM As|=0 
从 而 
| A， N A;: 门 A: | 一 0 
由 容 斥 原理 得 
1A1NnA:NA;|=66 一 (28 十 21 十 15) 十 (3 十 1 十 0) 一 0 二 6 
所 以 重 集 T= 二 {3，a,4，6b,5。，c} 的 10 组 合 的 个 数 等 于 6。 


4.2.5 错位 排列 


集合 人 ,2,….n) 的 一 个 排列 诗 ,is,…,is 称 为 它 的 一 个 错位 排列 ,如 果 讲 关 1， 
zz 天 2，…,z 产 2。 也 就 是 说 ,{1,2,…-,z) 的 一 个 错位 排列 就 是 (1,2,…，,z)} 的 每 个 元 
素 都 不 在 其 自然 位 置 上 的 一 个 排列 。 用 D, 表示 {11:2:…:z)} 的 错位 排列 的 个 数 , 简 
称 错 位 数 。 
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定理 4.2.7 对 于 nn 二 1， 


iT 2 

证 明 : 令 S 是 {1,2,…:,z} 的 所 有 排列 组 成 的 集合 , 则 1S|1 王 2”!。 对 于 7 一 1， 
2,…,n, 令 P; 表示 排列 中 j 位 于 它 的 自然 位 置 上 这 一 性 质 ,A; 表示 具有 性 质 P) 的 
代 ,2,…,n) 的 排列 组 成 的 集合 。 于 是 人 1,2,…,n} 的 错位 排列 恰好 就 是 A 门 A; 门 … 
门 A, 中 的 那些 排列 ,也 就 是 说 , D, 二 1Ai 门 A; 门 … 门 A,|。 下 面 利用 容 斥 原理 来 计 
算 D,。 

Ai 中 的 排列 就 是 形 如 1zz…z 的 那些 排列 ,其 中 io…i, 是 {2,3,…,n}) 的 一 个 排 
列 , 所 以 |Ai| 二 (x 一 1)!。 同 理 可 知 

1A;|= (1—D)! 了 一 1,2,……，72 

Ai 站 A, 中 的 排列 就 是 形 如 122… 和 mr 的 那些 排列 ,其 中 i…is 是 {3,4,…,n) 的 一 个 排 
列 , 所 以 |1AmnaA:1=(2 一 2)!。 同 理 可 知 , 对 于 {1,2,…，,?)} 的 任意 一 个 2 组 
合 { 人 ,7} 有 


D, al Ne 二) 
31 nl 


1A:NMA,;|= (x—2)! 
完全 类 似 地 ,对 于 {1,2,…,n}) 的 任意 一 个 组 合 { 鹿 ,is，… ,i} 有 
和 


因为 {1,2,…, 芭 的 组 合 有 |[”] 个 .利用 容 斥 原理 有 
D,. =n! (2 一 1)1 二 (zz 一 2)1 
1 2 
n n 
( jc 3 十 2 十 加 | jw»! 
3 n 


nljn!l nan! | 


nt 
on a 
ia 字 

al 下 十 十 一 二 十 (二 1) | 


例 4.2.8 有 nn 个 人 参加 一 个 晚会 ,每 人 寄存 一 项 帽子 ,晚会 后 每 人 随便 拿 回 其 
中 的 一 顶 , 求 : 

(1) 没有 一 个 人 拿 回 自己 原来 的 帽子 的 概率 ; 

(2) 至 少 有 一 个 人 拿 回 自己 原来 的 帽子 的 概率 ; 

(3) 至 少 有 两 个 人 拿 回 自己 原来 的 帽子 的 概率 。 

解 : (1) 每 人 随便 拿 一 顶 帽 子 相当 于 顶 帽 子 的 一 个 排列 ,其 个 数 为 n!。 而 没 
有 一 个 人 拿 回 自己 的 帽子 恰好 是 一 个 错位 排列 .其 个 数 为 D,。 所 以 没有 一 个 人 拿 回 
自己 的 帽子 的 概率 为 


Y 1 是 
D, al 11 + 21 St 1 十 ) 
nl! nl 


ja 
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xe! 237% 


这 是 因为 e!: 一 1 二 + 站 下 +…++( 1)” 圳 十 …。 
(2) 至 少 有 一 个 人 拿 回 自己 原来 的 帽子 的 概率 约 为 
1 一 el 63% 


(3) 因为 没有 一 个 人 拿 回 自己 的 帽子 的 情况 有 D, 种 , 恰 有 一 个 人 拿 回 自己 的 由 
子 的 情况 有 | “ ] ,种 ,因此 至 少 有 两 个 人 拿 加 自己 原来 的 帽子 的 情况 有 


n 
到 上 一 (B+ jp.) 
了 1 .2 
nl! (ma 人 1 十 下 Ey a 1 十 ) 
1 1 1 Ne 1 
1 ee 和 
Hn Di iT 十 下 31+ 二 《1 i)) 


0 > sn! 
a (za!(1 二 + 击 一 击 +… 二 (一 D 十 】 Ce 对 
= 


Wl = 
nl 


1 2 人 | ~l 2e-! ~ 26% 


从 此 例 中 可 以 看 到 一 个 有 趣 的 现象 : 由 交错 级 数 的 基本 事实 ,e 和 吉之 差 的 绝 


对 值 小 于 去 -二 :而 通过 计算 知 , 当 n 宇 7 时 ,e- 和 局 至 少 有 3 位 小 数 相同 。 从 实 


际 的 观点 来 看 ,nn 三 7 时 ,e 和 


计 是 一 样 的 。 也 就 是 说 ,只 要 参加 晚会 的 人 数 不 少 于 
7 人 ,那么 没有 一 个 人 拿 回 自己 原来 的 帽子 的 概率 大 约 都 是 e :372%% 。 
关于 错位 数 D, ,还 有 一 些 有 趣 的 关系 。 利 用 定理 4. 2.7 易 得 下 面 的 递 推 关 系 : 
D, = (一 1)(D。 十 Di) n= 3,4,5,. 


(4. 2) 
由 初始 条 件 : Di 二 0,D; 王 1, 可 以 计算 相应 于 任何 整数 的 D,。 例 如 


Dy = (3= MD + Da) = 204+ 1)=2 
Ds (4— 1)(D, ;+ D1) 3(1 十 2) 9 
D;: 一 (5 一 1)(CDi-: + De) 一 4(2 十 9) = 44 


把 式 (4.2) 变 形 有 , 当 n 宇 3 时 


I = mi LD. 《在 一 了 De] 
王 (一 全 2 一 (一 327 
三 0D5 


一 (一 1) 于 (CD。 一 2Di) 
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一 (一 1) 一 ? 
于 是 得 到 关于 错位 数 D, 的 一 个 更 简单 的 递 推 关系 : 
也, = nD,i 十 (— 1)"™? 
或 等 价 地 
D; = nD 二 1), n= 2,3,4,° (C3 
需要 注意 的 是 ,上 述 验 证 只 对 n= 二 3,4,5,… 进 行 ,而 当 n= 二 2 时 ,容易 证 明 式 (4. 3) 也 
成 立 。 


4.2.6 其 他 禁 位 问题 


上 一 节 已 经 讨论 了 如 何 计算 {1,2,…,n} 的 且 第 j 个 位 置 上 禁止 出 现 j (j=1， 
2,…,n) 的 排列 的 个 数 问 题 。 本 节 将 讨论 {1,2,…,n} 的 某 些 相 对 禁用 位 置 的 排列 的 
计数 问题 。 具 体 地 说 就 是 : 给 定 一 个 正 整 数 nn, 如 何 去 计 算 模 式 12,23,…,(n 一 1)n 
中 任何 一 个 都 不 出 现 的 {1,2,…,n}) 的 排列 的 个 数 Q,。 

定理 4.2.8 对 于 "二 1, 有 


| | 
各 5 =" ("I je-Dpi+f jw=2 


放生 着 一 于 
-| | jh" 
3 n—1 


证 明 : 令 S 是 位,2,…,n) 的 所 有 排列 组 成 的 集合 . 则 |S|==n!。 对 于 j= 二 1， 
2,"…,n 一 1, 令 P; 表示 排列 中 出 现 模式 j(j 十 1) 这 一 性 质 ,A, 表示 具有 性 质 P; 的 
{1,2,… ,nn} 的 排列 组 成 的 集合 。 于 是 {1.2,….n) 中 不 出 现 模式 12,23,…,(n 一 1)n 的 
排列 恰好 就 是 Al 门 A; 门 … 门 A, 中 的 那些 排列 ,也 就 是 说 , Q, 二 1Ai 门 As 门 … 门 A,|。 
同样 利用 容 斥 原理 来 计算 Q, 。 

首先 计算 A, 中 排列 的 个 数 。 一 个 排列 在 A; 中 当 且 仅 当 模式 12 出 现在 此 排列 
中 ,所 以 Ai 中 一 个 排列 可 以 看 成 4 一 1 个 符号 {12,3,…,n}) 的 一 个 排列 。 于 是 
1A, | 一 (2 一 1)1 ,一般 地 

| Ai 1 一 (2 一 1)1， 了 一 1,2, 一 1 
在 集合 Ai ,As，,…，,A,-1 中 任 取 两 个 集合 ,这 两 个 集合 只 有 两 种 情况 ,一 种 是 两 者 的 下 
标 相 邻 ,比如 Ai ,A;., 另 一 种 是 两 者 的 下 标 不 相 邻 ,比如 Ai,A3。Ai 门 As 中 的 排列 出 

现 模式 12 和 23 ,这 种 排列 可 以 看 成 2 一 2 个 符号 {12.34,…,.n} 的 一 个 排列 ,于 是 
IANAs|== 一 2)1。 而 Ai 门 A 中 的 排列 出 现 模式 12 和 34, 这 种 排列 可 以 看 成 
n 一 2 个 符号 {12,34,…,n}) 的 一 个 排列 ,于 是 |Ai 门 A;| 二 (一 2)1。 一 般 地 
1A:NMA;|= (nx—2)! 

对 于 {1,2,…,n} 的 每 一 个 2 组 合 {i,7} 成 立 。 更 一 般 地 ,包含 模式 12,23,…,(n 一 1)n 
中 的 &C(k 志 nn 一 了 个 特定 模式 的 排列 可 以 看 成 nn 一 & 个 符号 的 排列 ,这 样 ,对 于 
代 ,2,…,n 一 1} 的 任意 一 个 有 组合 { 记 ,is,… 坟 } 有 

La MA Ms NA =! 
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因为 (1,2,…… wn 一 1 的 组 合 有 ("4 ] 个 .利用 容 斥 原 理 有 


内 一 下 诊 一 重 
Q, 一 zz! 一 (nC 一 1)! 十 (2 一 2)1 


站 一 下 座 一 由 
| J] -wrt onl( | 
名 名 下 


例 4.2.9 nn 个 小 朋友 排 成 一 列 纵队 散 步 , 假 定 每 一 位 小 朋友 只 能 看 到 他 前 面 的 
一 位 小 朋友 (第 一 位 除外 )。 问 有 多 少 种 变换 队 形 的 方法 ,使 得 每 一 个 小 朋友 不 青 看 
到 当初 他 看 到 的 小 朋友 ? 

解 : 把 个 小 朋友 按 初始 队 形 顺序 编号 为 1,2,…,n, 则 问题 就 等 价 于 求 
{1,2,…,n}) 的 排列 中 没有 模式 12,23,…,(n 一 1)n 出 现 的 排列 数 , 所 以 答案 是 Q,。 


4.3 区 组 设计 和 拉丁 方 


4.3.1 区 组 设计 


首先 用 一 个 统计 分 析 中 试验 设计 的 简化 例子 来 说 明 区 组 设计 的 含义 。 

例 4.3.1 假设 一 个 产品 有 7 种 样品 需要 测试 ,制造 商 计 划 随 机 请 一 些 消费 者 
来 比较 这 些 样品 。 一 种 方法 是 让 每 一 位 参加 试验 的 消费 者 进行 全 面 的 测试 : 比较 所 
有 7 种 样品 。 但 这 样 花 费 的 时 间 和 精力 会 比较 多 ,不 是 每 个 消费 者 都 愿意 的 ,因此 决 
定 让 每 一 位 参加 试验 的 消费 者 进行 非 全 面 的 测试 ,比较 其 中 的 某 些 样品 。 现 制造 商 
要 求 每 个 人 比较 3 件 样 品 。 为 了 能 够 得 出 基于 结果 的 统计 分 析 的 有 意义 的 结论 , 测 
试 要 具有 这 样 的 性 质 : 7 种 样品 中 的 每 一 对 样品 恰 被 一 人 比较 。 问 能 否 设 计 出 这 样 
一 种 测试 试验 ? 


4 
解 : 把 这 7 种 样品 标记 为 0,1.2,3,4,5,6。 这 7 种 样品 总 共 可 以 配 成 一 2 对 。 
每 个 测试 人 得 到 3 种 样品 ,进行 | := 次 比较 。 由 于 每 一 对 恰 被 比较 1 次 , 故 测 试 


者 的 人 数 应 为 村 一 7 人 。 幸 好 这 个 商 是 一 个 整数 ,否则 就 不 能 用 所 给 的 限制 设计 出 


一 个 试验 。 
现在 要 寻找 的 是 这 7 种 样品 的 7 个 子 集 Bi.B,,….,Bi;( 每 个 测试 者 一 个 ), 称 之 
为 区 组 (block) ,它们 具有 性 质 : 每 一 对 样品 恰好 在 一 个 区 组 内 。 下 面 是 这 样 的 一 个 
区 组 : 
Br = OI B= (hod; By= (Cm By =")s 
Bs = O04} By= (lS5v6}s Br= {0.52.6} 
描述 该 试验 设计 的 另 一 种 方式 是 利用 下 面 的 列表 给 出 。 在 该 列表 中 , 列 对 应 于 
样品 , 行 对 应 于 区 组 ,如 果 样 品 j 属于 区 组 B;. 那 么 i 行 7 列 交叉 处 为 1, 否则 为 0。 
列表 如 下 : 
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0 1 2 3 4 5 6 
也 出 1 0 0 0 0 
B; 0 1 1 0 1 0 0 
B; 0 0 1 , 0 1 0 
了 0 0 0 1 1 0 1 
也 5 1 0 0 0 1 1 0 
Bs 0 1 0 0 0 1 1 
B; 1 0 0 0 0 1 


从 表 中 可 以 看 出 ,每 一 行 含 有 3 个 1, 反映 了 每 个 区 组 含有 3 个 样品 这 一 事实 ， 
每 两 列 恰 在 且 只 在 一 行 上 同时 含有 1, 反映 了 每 一 对 样品 恰好 在 同一 个 区 组 中 这 
事实 。 

可 以 把 此 表 利 用 矩阵 的 形式 表示 如 下 : 


E000 0 
.2 下 有 人 油 
0 TL 0 
0 0 01 0:1 
和 有 -人 人 下 下 
办 -了 00.1 
有 1 99 0 1 
称 之 为 试验 设计 的 关联 和 矩阵。 
现在 来 定义 一 些 术语 并 讨论 区 组 设计 的 一 些 初等 性 质 。 
定义 4.3.1 设 V 是 含有 wv(v 三 2) 个 元 素 ( 有 时 称 之 为 样品 ) 的 集合 {Bi， 


B,,…,Bs}, 其 中 Bi,Bs,…,B。 是 V 的 子 集 ( 称 之 为 区 组 )。 如 果 B pt 
条 件 : 

(1) Bi ,Bs,…,B。 都 含有 k 个 元 素 ,& 二 0; 

(2) V 的 每 一 个 元 素 恰好 出 现在 -~ 个 区 组 中 ,r 二 0; 

(3) V 的 每 一 对 元 素 恰好 出 现在 个 区 组 中 ,二 0。 

则 称 B 是 V 的 一 个 平衡 区 组 设计 , 数 4 称 为 设计 指数 。 

满足 二 w 的 平衡 区 组 设计 称 为 平衡 不 完全 区 组 设计 (Balanced Incomplete 
Block 2 BIBD) ,有 时 也 称 为 (b,v,r,k,X ) 设 计 。 

该 注意 到 ,如 果 & 二 v, 即 每 一 个 区 组 B; (i 一 1,2,…,5) 都 等 于 V, 那 么 定 

义 4.3.1 中 的 3 个 条 件 自然 满足 . 且 k& 二 v,r 二 6,4 二 5, 这 时 则 称 B 为 完全 区 组 设计 。 
在 例 4. 3. 1 中 ,一 个 完全 区 组 设计 对 应 于 使 每 个 人 都 要 比较 每 一 对 样品 的 试验 。 从 
组 合 学 的 观点 来 看 ,完全 区 组 设计 是 平凡 的 。 因 此 下 面 的 讨论 中 , 除 特别 声明 外 ,都 
假设 <<v。 

由 上 定义 可 知 , 例 4. 3. 1 是 一 个 (7,7,3,3,1) 设 计 。 
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令 已 是 六 上 的 一 个 BIBD。 如 上 例 所 看 到 的 ,把 与 一 个 关联 矩阵 4 相 联 系 。 
和 矩阵 4 是 由 0 和 1 组 成 的 2Xv 和 矩阵 : 它 的 行 对 应 每 一 个 区 组 Bi,B;,…,B,, 它 的 列 
对 应 V 中 的 每 一 个 样品 1 ,xs，… ,ZX,, 位 于 i 行 j 列 交叉 处 的 元 素 ao (i 二 1,2,…,b; 
Jj 二 1,2,…,v) 定 义 如 下 : 


ai = 


1 车 zj 在 B; 中 
若 之 ; 不 在 B; 中 
尽管 关联 和 矩阵 依赖 于 排列 区 组 的 顺序 和 排列 样品 的 顺序 ,还 是 称 它 为 B 的 关联 和 矩 
阵 。 关 联 和 矩阵 包含 了 BIBD 的 全 部 信息 。 

对 于 v 人 2 ,任意 2Xzu 的 0 和 1 和 抢 阵 是 (0,u:r,&,A) 设 计 的 关联 矩阵 ,其 中 ur， 
,4 二 0, 当 且 仅 当下 面条 件 成 立 : 

(1) 每 一 列 中 1 的 数目 相同 ,都 是 + 个 , 且 一 0; 

(2) 每 一 行 中 1 的 数目 相同 ,都 是 & 个 ,上 且 k& 记 0; 

(3) 每 两 列 中 同时 为 1 的 行 数 相 同 , 都 是 4 个 , 且 X40。 

一 个 BIBD 包含 5 个 参数 , 即 5,v,r,k,4, 其 中 

b: 区 组 个 数 ; 

v: 样品 个 数 ; 

r: 包含 每 个 样品 的 区 组 的 个 数 ; 

k: 在 每 个 区 组 中 样品 的 个 数 ; 

4: 包含 每 对 样品 的 区 组 的 个 数 。 

下 面 给 出 这 些 参数 必须 满足 的 条 件 。 

定理 4.3.1 在 一 个 (6,v,r,k&,A) 设 计 中 ,有 


rl(k—1)=A(v—1) (4.4) 
证 明 : 令 zx; 为 任 一 样品 ,并 设 x; 含 于 r 个 区 组 
B, ,B, ,BB; (4.5) 


中 。 由 于 每 一 个 区 组 含有 A 个 元 素 , 因 此 这 些 区 组 中 的 每 一 个 都 含有 A& 一 1 个 异 于 福 ; 
的 样品 。 现 在 考虑 v 一 1 个 元 素 对 {x;,y}) ,其 中 > 是 异 于 xz; 的 样品 。 对 于 每 一 个 这 
样 的 元 素 对 ,现在 计算 同时 包含 这 两 个 样品 的 区 组 数 ( 这 些 区 组 一 定 包含 在 式 (4. 5) 
中 的 这 > 个 区 组 中 ,因为 它们 是 包含 zx; 的 全 部 区 组 )。 由 条 件 知 ,每 一 对 区 组 均 含 于 
4 个 区 组 中 , 相 加 后 得 到 


A(v—1) 
另 一 方面 , 式 (4.5) 中 的 每 个 组 均 含 有 k 一 1 个 包含 zx; 的 元 素 对 , 相 加 后 得 到 
(k— Dr 


因 这 两 个 数 相 等 ,于 是 
(k— Dr=A(wv—1) 
由 定理 4. 3. 1 知 ,一 个 BIBD 中 包含 的 5 个 参数 5.v、r.k.4 不 是 独立 的 ,并 且 从 
它 的 证 明 中 可 以 看 出 ,定义 4.3.1 中 的 3 个 条 件 也 不 是 独立 的 ,由 条 件 (1)、(3) 可 以 
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推出 条 件 (2) 。 
推论 4.3.1 在 BIBD 中 ,有 
bk = vr (4. 6) 
证 明 : 已 经 观察 到 .通过 行 来 计数 .BIBD 关联 抑 阵 4 中 1 的 个 数 为 bk。 由 定 
理 4.3.1 知 ,4 的 每 一 列 含 有 r 个 1, 因此 通过 列 来 计数 ,4 中 1 的 个 数 为 vr ,两 数 相 
等 ,所 以 得 到 
= or 
推论 4.3.2 在 BIBD 中 .有 
?Pa 
证 明 : 根据 定义 ,在 BIBD 中 ,k 二 v, 从 而 有 一 1 二 v 一 1, 由 定理 4.3.1 知 4 二 r。 
例 4.3.2 是 否 存在 参数 为 0 一 12,& 一 4,u 一 16 及 一 3 的 BIBD? 
解 : 由 定理 4.3.1, 如 果 存 在 这 样 的 设计 ,那么 它 的 指数 4 应 满足 


(Ry 3xXx (4—1) 9 
v—1 16 一 1】 15 


因为 它 不 是 整数 ,所 以 不 可 能 存在 所 给 定 的 4 个 参数 的 BIBD。 
定理 4.3.2(Fisher 不 等 式 ) 在 BIBD 中 .有 
0 二 了 (4.7) 
证 明 : 令 A 为 BIBD 的 bXwv 关 联 和 矩阵 。 由 于 每 一 个 样品 在 rr 个 区 组 中 ,每 一 对 
样品 在 和 个 区 组 中 , 记 A 的 转 置 矩阵 为 4T, 因 此 4T4 为 wxwv 方 阵 , 且 主 对 角 线 上 的 
元 素 均 为 r, 主 对 角 线 以 外 的 元 素 均 为 4, 即 


A 


A A “. 
由 推论 4. 3. 2 知 4 一: 利用 线性 代数 的 知识 容易 计算 ,474 的 行列 式 
| 4T4 | 一 (~ 一 1) 一 (Cr 十 (一 1)A) 天 0 

从 而 该 矩阵 是 可 逆 的 ,其 秩 为 w: 因 此 4 的 秩 至 少 是 v。 由 于 4 是 2 行列 矩阵 ,于 是 
必 有 0 三 w。 

使 式 (4.7) 中 等 号 成 立 的 BIBD,. 即 区 组 个 数 2 等 于 样品 个 数 v 的 BIBD 称 为 是 
对 称 的 ,简称 SBIBD。 由 于 在 BIBD 中 满足 bk 二 vr, 于 是 在 SBIBD 中 有 二 +。 由 
式 (4. 4) 知 ,SBIBD 的 指数 4 为 


_ KGRE 一 1) 


一 起 


A (4.8) 


因此 ,SBIBD 的 参数 为 : 
0: 区 组 个 数 ; 
v: 样品 个 数 ; 
&: 在 每 个 区 组 中 样品 的 个 数 ; 


4 
i 信息 安全 中 的 数学 方法 与 技术 


r: 包含 每 个 样品 的 区 组 的 个 数 ; 

4: 包含 每 一 对 样品 的 区 组 的 个 数 , 其 中 4 由 式 (4.8) 给 出 。 

前 面 的 例 4. 3. 1 就 是 一 个 SBIBD。 

现在 讨论 构造 SBIBD 的 方法 ,该 方法 要 用 到 整数 mod n 的 运算 。 在 这 种 方法 
中 ,样品 是 Z, 中 的 整数 ,为 了 与 我 们 的 记 法 一 致 ,这 里 使 用 wv 而 不 使 用 ”。 

令 v 三 2 为 一 整数 ,考虑 mod v 的 整数 集 : 

Z, = {0,1,2,.…,v— 1} 
它 的 加 法 和 乘法 用 通常 的 记号 十 和 XX 表示 。 令 
B= {il,iss* si} 
是 Z, 的 一 个 & 元 子 集 。 对 于 2Z, 中 的 任意 一 个 整数 j(j 二 0,1,2,…,v 一 1) ,定义 
B+j= {fitj,iz tj ii 十 7} 
即 B 的 每 一 个 整数 以 mod v 的 方式 加 上 整数 2。 显然 ,B 十 j 仍 是 Z。 的 子 集 ,并 且 是 
Z, 的 & 元 子 集 。 这 是 因为 ,如 果 i 十 j= 二 i 十 j( 在 Z, 中 ), 两 边 消去 j, 得 到 i, 二 =i。 
这 样 就 得 到 Z, 的 v 个 子 集 
B= B+0,B+1,B+2,.…,B 十 v 一 1 
称 为 从 区 组 B 发 展 起 来 的 区 组 ,而 B 叫做 初始 值 区 组 (starter block)。 

例 4.3.3 令 v=7, 考 虑 Zi 二 10,1,2,3,4,5,6}。 设 初始 值 区 组 为 B= {0,1,3}。 

于 是 

B+0= {0,1,3},， B+ 二 1= {1,2,4},， B+ 十 2 = {2,3,5}，, 

B 十 3 二 {3,4,6}， B 十 4 二 {4,5,0}， B+ 十 5 二 {5,6,1}， 

B+6= 1{6,0,2} 
这 是 一 个 BIBD, 与 例 4. 3. 1 是 同一 个 。 由 于 6 二 v= 二 7, 所 以 是 一 个 SBIBD, 其 中 
6=v=7,k=r=3,A=1。 

例 4.3.4 同上 例 , 现 在 设 初始 值 区 组 为 : B= 二 10,1,4)。 于 是 

B+ 二 +0== {0,1,4}， B+ 二 1 = {1,2,5}， B+ 十 2 = {2,3,6}， 

B++3 二 {3,4,0}，B 十 4 二 {4,5,1}， B+ 十 5 二 {5,6,2}， 

B+ 二 6 二 (6.,0,3} 
这 不 是 一 个 BIBD, 因 为 样品 1 和 2 同时 出 现在 一 个 区 组 中 ,而 样品 1 和 5 却 同时 出 
现在 两 个 区 组 中 。 

从 这 两 个 例子 可 以 看 出 ,从 初始 值 区 组 发 展 起 来 的 区 组 是 否 是 一 个 SBIBD, 关 
键 是 初始 值 区 组 的 选取 。 

令 B 是 Z, 的 元 子 集 , 设 S 一 {zx 一 yl|zx 关 y,;T,yEB}。 容 易 看 出 : S 是 一 个 重 
集 , 且 含有 k(k 一 1) 个 元 素 ( 两 种 顺序 ),S 中 的 元 素 称 为 差分 。 如 果 2Z, 中 的 每 个 非 
零 整数 都 在 S 中 .并 且 都 出 现 4 次, 则 称 B 为 mod wv 差分 集 。 由 于 2, 中 存在 v 一 1 
个 非 零 整数 ,因此 有 : MA(Cz 一 1) 王 ACE 一 1) , 即 
_ EC 一 1) 

vw—1 


例 4.3.5 令 v==7,k 二 3, 考 虑 B 二 10,1,3}。 计 算 B 中 整数 的 减法 表 
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0 


1 


3 


1 


3 


0 


1 


3 


6 


0 


2 


4 


5 


0 


忽略 对 角 线 上 的 那些 0。 考察 该 表 发 现 ,2Z; 中 的 每 个 非 零 整数 1,2,3,4,5,6 在 非 对 


角 线 位 置 上 恰好 出 现 一 次 ,因此 ,B 是 mod 7 的 一 个 差分 集 。 
例 4.3.6 令 v=7,k 二 3, 考 虑 B 一 


0 


1 


{0,1,4}。 计 算 B 中 整数 的 减法 表 


4 


0 


1 
4 


0 


1 
4 


6 
0 


3 


3 
4 


0 


可 以 看 到 ,作为 差分 1 和 6 每 个 在 非 对 角 线 位 置 上 出 现 一 次 ,3 和 4 出 现 两 次 ,而 
2 和 5 根本 不 出 现 。 因 此 ,B 不 是 mod 7 的 一 个 差分 集 。 

定理 4.3.3 令 B 为 Z, 中 的 &k(k 二 v) 元 子 集 , 它 形成 mod wv 的 差分 集 。 则 从 
B 作为 初始 值 区 组 发 展 起 来 的 区 组 形成 一 个 SBIBD, 其 指数 
ACE 一 1) 

| 

证 明 : 由 于 k=v, 故 由 B 这 些 发 展 起 来 的 区 组 是 不 完全 区 组 ,并 且 每 个 区 组 包 
含 & 个 元 素 , 区 组 的 个 数 5 与 样品 的 个 数 v 相同 。 现 在 只 需要 证 明 2Z, 的 每 一 对 元 素 
be hn 因为 B 是 差分 集 , 所 以 Z, 的 每 一 个 非 零 整 数 作 为 差分 


恰好 出 现 4 一 < 人 下 次 。 剩 下 的 只 需要 证 明 Z 的 每 一 对 不 同 的 整数 恰好 在 》 个 区 


组 中 。 
令 p 和 g 是 Z。 中 的 互 异 整 数 , 则 p 一 g 隆 0。 由 于 B 是 mod w 的 差分 集 ,从 而 
方程 


3 


TzT—y=p—g 
在 B 中 有 74 个 解 。 对 每 个 这 样 的 解 z 和 y. 令 j 一 p 一 zx, 则 
it es 2 kt A a hi a ee ) 
即 p 和 g 都 属于 B 十 ij。 而 这 样 的 有》 个 ,因此 ,p 和 g 同属 于 4 个 区 组 。 又 因为 


vv = TN = VD D 生生 一 下 wk = 
a 


所 以 ,2Z, 的 每 一 对 不 同 的 整数 恰好 在 4 个 区 组 中 。 

例 4.3.7 求 Zu 中 大 小 为 5 的 差分 集 , 并 用 它 作 为 初始 值 区 组 构造 一 
SBIBD。 

解 : 设 B= 二 {0,2,3,4,8) ,计算 B 的 减法 表 
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i 0 2 3 4 8 
0 0 9 8 7 3 
2 2 0 10 9 5 
3 3 1 0 10 6 
4 4 2 1 0 
8 8 6 5 4 0 


观察 对 角 线 以 外 的 元 素 可 以 看 到 ,Zu 中 的 每 个 非 零 整数 作为 差分 恰好 出 现 两 次 ， 
从 而 B 是 一 个 差分 集 。 将 B 作为 一 个 初始 值 区 组 按 前 面 讨 论 的 方法 得 到 具有 参数 
b 二 v 二 11,k 二 rr 二 5,4 二 2 的 SBIBD 的 下 面 的 区 组 : 
BF0= {05253.458)s 加 二 I= (15354;5;9}s 加 丫 名 二 (23545556510); 
B+3= {0,3,5,6,7}, B+4= {1,4,6,7,8},， B++5= {2,5,7,8,9}，, 
B++6= 1{3,6,8,9,10};， B+ 十 7 = {0,4,7,9,10}，B 十 8 = {0,1,5,8,10}， 
B+ 二 9= 1{0,1,2,6,9}, B+ 十 10 = (1,2,3,7,10} 


4.3.2 Steiner 三 元 系统 


设 B 二 (,v,r,k,4) 是 一 个 BIBD, 由 于 B 是 非 完全 的 ,所 以 二 wv。 特别 地 ,如 果 
k 二 2,4 二 1, 那 么 ,B 中 每 个 区 组 恰好 包含 两 个 样品 , 且 每 对 样品 正好 在 一 个 区 组 中 出 
现 。 也 就 是 说 ,在 这 种 情况 下 区 组 的 数量 就 是 它 的 样品 集合 的 2 元 子 集 的 数量 。 例 
如 ,一 个 v 一 3,& 一 2, 一 1 的 BIBD 中 的 区 组 是 下 面 的 子 集 : {0,1),{0,2),{1,2}。 如 
果 取 4 二 2, 只 要 将 上 面 的 每 个 区 组 取 两 次 。 如 果 取 4 二 3, 只 要 将 上 面 的 每 个 区 组 取 
3 次 。 因 此 ,k= 二 2 的 BIBD 是 平凡 的 。 本 小 节 主 要 研究 BIBD 的 另 一 种 特殊 情况 , 即 
k 二 3,4 二 1 的 情况 。 

定义 4.3.2 k= 二 3,4 二 1 的 平衡 区 组 设计 叫做 Steiner 三 元 系统 。 

例 4. 3. 1 就 是 一 个 Steiner 三 元 系统 ,并 且 是 一 个 SBIBD。 这 是 形成 SBIBD 的 
Steiner 三 元 系统 的 仅 有 的 例子 。Steiner 三 元 系统 的 另外 一 个 例子 是 取 v= 二 3,3 个 样 
品 0,1 和 2 以 及 一 个 区 组 {0,1,2) 而 得 到 的 。 这 时 5 二 1, 显 然 每 对 样品 含 于 4 二 1 个 
区 组 中 ,因为 v==k 二 3, 所 以 它 不 是 一 个 BIBD。 每 个 其 他 的 Steiner 三 元 系统 都 是 一 
个 BIBD。 

下 面 的 定理 给 出 Steiner 三 元 系统 存在 的 条 件 。 

定理 4.3.4 含有 zu(z 二 2) 个 样品 的 Steiner 三 元 系统 存在 的 充分 必要 条 件 是 : 
存在 非 负 整数 nn, 使 得 v 二 6n 十 1(n 宇 1) 或 v 二 6n 十 3(n 宇 0)。 

证 明 : 必要 性 。 由 式 (4. 4) 知 ,在 Steiner 三 元 系统 中 


2 一 即 -一 2 
这 说 明 v 一 1 是 偶数 ,v 是 奇数 。 又 由 式 (4.6) 知 

vw — 1) _ Vv— 1) 
人 6 


此 式 说 明 v(v 一 1) 是 6 的 倍数 , 即 v 或 v 一 1 能 被 3 整除。 如果 忆 能 被 3 整除 ,而 wv 是 


28 = 
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奇数 ,所 以 v 是 3 乘 以 一 个 奇数 , 即 
v= 二 3X(2n 十 1)= 二 6n 十 3，7n 宇 0 

如 果 v 一 1 能 被 3 整除 ,又 v 一 1 是 偶数 ,所 以 v 一 1 是 3 乘 以 一 个 偶数 , 即 
划一 重 3X2n 6n, v 3 二 

因为 v 宇 2, 所 以 上 式 中 必须 mn 三 1。 必 要 性 证 毕 。 

对 于 充分 性 的 证 明 , 已 超出 了 本 书 的 范围 。 有 兴趣 的 读者 可 以 参见 文献 [8]。 

下 面 的 定理 证 明了 一 类 特殊 的 Steiner 三 元 系统 的 存在 性 ,并 给 出 了 具体 的 构造 
方法 。 

定理 4.3.5 如 果 存 在 含有 vw 个 样品 和 vw 个 样品 的 两 个 Steiner 三 元 系统 , 那 
么 就 一 定 存在 含有 mw v 个 样品 的 Steiner 三 元 系统 。 

证 明 : 设 B, 是 具有 mm 个 样品 ayvaav yau 的 Steiner 三 元 系统 ,B, 是 具有 
vs 个 样品 入 ,02 0 的 Steiner 三 元 系统 。 设 S 是 由 mivs 个 样品 如 组 成 的 合 ， 
其 中 ii 王 1,2, ,v1,j 王 1,2,… ,vs。 把 这 些 样 品 看 成 vi 行 vs 列 的 矩阵 的 元 素 , 和 矩阵 
的 行 对 应 al ,az ,au ,矩阵 的 列 对 应 六 ,52,… ,5 ,如 下 所 示 : 


bi bs bs, 
CQ1 | 人 un C12 ”Cw 
dz | C21 C22 a C2v, e ) 
4.9 
Qala Caz ”cum 


现在 来 定义 S 的 元 素 的 三 元 组 集合 B。 设 {ci ,cwcn) 是 S 的 3 个 元 素 组 成 的 集 
合 , 则 {ci ,cs,cu} 是 B 中 的 一 个 三 元 组 当 且 仅 当 下 述 命题 之 一 成 立 。 

(1) r= 二 s 二 t, 且 {aiwajwar) 是 Bi 的 三 元 组 。 换 句 话说 ,ci .cx 和 ce 在 矩阵 (4. 9) 
的 同一 列 上 , 且 它 们 所 在 的 行 对 应 Bi 的 一 个 三 元 组 。 

(2) i 二 j 二 有, 且 {6b,,6;,b.}) 是 Bs 的 三 元 组 。 换 句 话 说 ,cr cj; 和 cw 在 矩阵 (4.9) 的 
同一 行 上 , 且 它 们 所 在 的 列 对 应 B，, 的 一 个 三 元 组 。 

(3) i,j sk 互 异 且 {aivajwar} 是 Bi 的 三 元 组 ,而 r,s,t 互 异 且 {6,,0b;,b.) 是 Bz 的 
三 元 组 。 换 名 话说 ,cr 、cjs 和 cw 在 矩阵 (4. 9) 的 不 同行 不 同 列 上 ,而 它们 所 在 的 行 对 
应 Bi 的 一 个 三 元 组 ,它们 所 在 的 列 对 应 B， 的 一 个 三 元 组 。 

由 B 的 定义 可 知 如 下 事实 : 没有 B 的 三 元 组 恰好 位 于 矩阵 (4. 9) 的 两 行 或 者 恰 
好 位 于 矩阵 (4. 9) 的 两 列 。 以 下 的 证 明基 于 这 个 事实 。 

下 面 证 明 如 上 定义 的 S 的 三 元 组 集合 B 构成 一 个 Steiner 三 元 系统 。 

令 cc 为 S 的 一 对 不 同 的 元 素 , 现 在 需要 证 明 存 在 唯一 的 既 含 cv 又 含 cr 的 
B 的 三 元 组 。 分 3 种 情况 讨论 。 

情形 1: ~ 一, 因而; 夫 )。 此 时 元 素 对 是 位 于 矩阵 (4. 9) 的 同一 列 上 的 元 素 cv 、 
cr。 由 于 Bi 是 一 个 Steiner 三 元 系统 ,因此 存在 Bi 的 包含 互 异 对 ao 的 唯一 的 三 
元 组 {aisaj war)。 从 而 {cj :ci :cw} 是 B 的 唯一 包含 ci cr 的 唯一 的 三 元 组 。 

情形 2: ;一 ) ,因而 入 >*。 此 时 元 素 对 是 位 于 矩阵 (4. 9) 的 同一 行 上 的 元 素 cv 、 
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cs。 由 于 Bs 是 一 个 Steiner 三 元 系统 ,因此 存在 Bs 的 包含 互 异 对 5,、b, 的 唯一 的 三 
元 组 {6,,6;,6.}。 从 而 {ci ,cs ,cz} 是 B 的 包含 c; .ci 的 唯一 的 三 元 组 。 

情形 3: i 关 7 且 r 了 关 s。 存 在 Bi 的 包含 互 异 对 a;、a; 的 唯一 的 三 元 组 {a;,aj ,ax} 
和 B 的 包含 互 异 对 5b,、b, 的 唯一 的 三 元 组 {5,.5;.5,}。 因 此 {ci ,ccw}) 是 B 的 包含 
czxci 的 唯一 的 三 元 组 。 

这 样 就 证 明了 B 是 具有 wiwvs 个 样品 的 Steiner 三 元 系统 。 

例 4.3.8 令 B 是 具有 3 个 样品 a,azs,as 和 唯一 一 个 三 元 组 {a1,azs,as3) 的 
Steiner 三 元 系统 ,Bs。 是 具有 3 个 样品 1 ,65s,b3 和 唯一 一 个 三 元 组 {51,5s,b3) 的 
Steiner 三 元 系统 。 现 在 利用 定理 4. 3. 5 的 证 明 中 给 出 的 构造 方法 构造 一 个 具有 3X 
3 一 9 个 样品 的 Steiner 三 元 系统 B。 设 S 是 9 个 样品 的 集合 , 它 的 元 素 是 下 列 矩 阵 
的 元 素 : 

bi pbs» bs 


dlcu C2 Cl13 
Gz|C2l C22 C23 
G3\C3l C32 C33 


由 定理 4.3.5 的 证 明 中 的 构造 方法 得 到 具有 9 个 样品 和 12 个 三 元 组 的 Steiner 三 元 
系统 B。 
(1) 3 行 中 每 行 的 元 素 如 下 : 
{caayclz ycla)， {caiyczz czs》， (calycazyc3s} 
(2) 3 列 中 每 列 的 元 素 如 下 : 
{clsC2l sca}, {cl2 yczz C32}» {c13 ycza » C33} 
(3) 在 不 同行 不 同 列 的 元 素 如 下 : 
{ciiyczzycsa)， {ciz »C23 sea ds {cia 9C21 ycaz } 
{ci39C229C31), {clzycalycsas)， {cnsc2s C32)} 
如 果 用 0,1,2,3,4,5,6,7,8 分 别 代替 c ,ca ,cat cla ,czz ,caz sC13 C23 sc33 ， 则 Steiner 三 
元 系统 B 可 以 写成 下 面 简单 的 形式 : 
{0,1,2} {0,3,6} {0,4,8} {2,4.6} 
{3,4,5} {1,4,7} {2,3,7} {1,3,8} (4.10) 
{6,7,8} {2,5,8} {1,5,6} {0,5,7} 
式 (4.10) 的 列 将 B 的 12 个 三 元 组 分 成 了 4 部 分 ,使 每 一 个 样品 恰好 出 现在 每 一 
部 分 的 一 个 三 元 组 中 , 即 每 一 部 分 都 是 B 的 样品 集 分 成 三 元 组 的 一 个 划分 。 具 有 这 
个 性 质 的 Steiner 三 元 系统 称 为 可 解 的 (resolvable) ,而 每 一 部 分 叫做 可 解 类 。 
Steiner 三 元 系统 的 可 解 性 的 概念 首先 产生 于 下 面 的 由 Kirkman 提出 的 问题 , 称 
为 Kirkman 女生 问题 。 
学 校 女 教师 带领 她 班 上 15 个 女生 进行 日 常 操练 。 这 些 女生 被 排 成 5 行 , 每 行 
3 人 ,因此 每 个 女孩 有 两 个 队友 。 问 能 否 计划 连续 操练 7 天 ,使 得 没有 一 个 女孩 与 她 
的 任何 同学 在 3 人 行 中 操练 的 次 数 超过 一 次 ? 
这 个 问题 的 解 由 15 个 女孩 的 7X5 一 35 个 三 元 组 组 成 ,要 求 : 每 一 对 女孩 恰好 


1 
第 4 章 组合 论 方法 与 技术 uf 


同 在 一 个 三 元 组 中 , 且 能 够 把 35 个 三 元 组 划分 成 7 类 ,每 类 5 个 三 元 组 ,使 得 每 类 中 
每 个 女孩 恰好 出 现在 一 个 三 元 组 中 , 即 每 类 都 是 这 15 个 女孩 的 一 个 三 元 组 划分 。 由 
定理 4. 3.4 的 证 明知 ,具有 v= 二 15 个 样品 的 Steiner 三 元 系统 的 三 元 组 的 个 数 为 


ZX 一 1) 
6 


所 以 ,Kirkman 女生 问题 就 是 求解 一 个 具有 uv 一 15 个 样品 的 Steiner 三 元 系统 。 这 样 
的 Steiner 三 元 系统 与 将 它们 分 成 的 7 个 部 分 (每 一 部 分 对 应 7 天 中 的 一 天 ) 表 示 


b= 35 


如 下 : 
{0,1,2} 10,3,4} {40,5,6} {0,7,8} {40,9,10} {0,11,12} {0,13,14} 
{3,7,11} {1,7,9} ‘11,8,10} {1,11,13} {1,12,14} {1,3,5} {1,4.,6} 
{4,9,14} {42,12,13} {2,11,14} {2,4,5} {2,3,6} {2,8,9} {2,7,10} 
145,10,12;} {5,8,14} {3,9,13} {3,10,14} {4,8,11} {4,10,13} {3,8,12} 
16,8,13} {16,10,11} {4,7,12} {16,9,12} {5,7,13} {6,7,10} {559511} 


例 4. 3. 8 实际 上 给 出 了 9 个 女孩 情况 下 Kirkman 女生 问题 的 解 。 在 这 种 情况 
下 ,共有 9 个 女生 并 安排 她 们 进行 4 天 日 常 操练 ,每 个 女孩 在 所 有 4 天 中 都 有 不 同 的 
队友 。 

关于 Kirkman 女生 问题 的 进一步 的 讨论 参见 文献 [9]。 


4.3.3 拉丁 方 


定义 4.3.3 令 n 是 一 个 正 整数 ,S 是 一 个 2 集合 ,4 是 S 上 的 一 个 n 阶 方 阵 。 
如 果 A 的 每 一 行 都 是 S 的 个 元 素 的 一 个 排列 .同时 A 的 每 一 列 也 都 是 S 的 个 元 
素 的 一 个 排列 , 则 称 A 是 S 上 的 一 个 阶 拉丁 方 。 
S 的 元 素 的 具体 性 质 并 不 重要 ,因此 通常 把 S 取 为 Z, 二 {0,1,2,…,n 一 1)。 此 
时 将 拉丁 方 4 的 行列 计数 为 0,1,2,….n 一 1。 下 面 是 几 个 拉丁 方 的 例子 : 
Le 光 


0 
上 面 这 几 个 拉丁 方 有 一 个 共同 的 特点 ,就 是 它们 的 第 0 行 是 按 自然 顺序 排列 的 ， 
这 种 拉丁 方 称 之 为 标准 型 。 
考虑 Z, 上 的 nn 阶 拉 丁 方 4。 设 kEZ,: 则 有 在 A 中 出 现 n 次 ,并 出 现在 A 的 不 
同行 不 同 列 上 。 令 A(R) 为 k(k 二 0,1,2,…,n 一 1) 在 A 中 所 占据 的 位 置 的 集合 , 则 
A(0),A(C1),…:ACz 一 1) 
是 A 的 n? 个 位 置 的 一 个 划分 。 注 意 到 ,在 拉丁 方 中 , 如 果 把 1 和 2 这 两 个 数 互 换 ,其 
结果 仍 是 一 个 拉丁 方 。 对 应 于 上 面 的 划分 就 相当 于 把 A(1) 变 成 A(2) 并 把 A(2) 变 
成 A(1)。 更 一 般 地 ,任意 交换 A(0) ,A(1),…,A(n 一 1), 所 得 结果 仍然 是 一 个 拉丁 
方 。 用 这 种 方法 可 以 产生 n! 个 拉丁 方 ,并 且 容 易 看 出 通过 交换 A (0),A(1),…， 
A 一 1), 总 可 以 把 拉丁 方 化 成 标准 型 。 
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定理 4.3.6 令 nn 是 一 个 正 整 数 ,4 是 一 个 n 阶 方 阵 , 并 且 位 于 i 行 j 列 上 的 元 
素 az 为 
aij 一 1 十 JJ(Cmodz)，iJ 一 0,1,2,…,72 一 1 
则 A 是 Z, 上 的 一 个 nn 阶 拉丁 方 。 
证 明 : 考察 矩阵 A 的 第 i(i 二 0,1,2,…,n 一 1) 行 。 假 设 a; 二 a ; 即 
i 十 j 二 i 十 
两 边 加 上 i 在 2Z 中 的 加 法 负 元 一 i, 得 j= 二 &k, 这 就 证 明了 在 4 的 任 一 行 上 不 存在 相同 
的 元 素 。 同 理 可 证 ,在 A 的 任 一 列 上 也 不 存在 相同 的 元 素 , 即 A 是 Z, 上 的 一 个 n 阶 
拉丁 方 。 
定理 4. 3.6 中 构造 的 阶 拉丁 方 只 不 过 是 Z, 中 的 加 法 表 。 下 面 给 出 构造 拉丁 
方 的 更 一 般 的 方法 。 
定理 4.3.7 令 n 是 一 个 正 整 数 ,r 是 Z, 中 的 非 零 元 , 且 (r,n) 二 1。 又 令 A 是 一 
个 n 阶 方 阵 ,并 且 位 于 i 行 j 列 上 的 元 素 a; 为 
ajy rxXit+j(modn), i,j=0,1,2,…,n—1 
则 A 是 2Z,, 上 的 一 个 n 阶 拉丁 方 。 
证 明 : 同 定理 4. 3.6 的 证 明 类 似 ,可 以 证 明 在 4 的 任 一 行 上 不 存在 相同 的 元 素 。 
下 证 在 A 的 任 一 列 上 也 不 存在 相同 的 元 素 。 因 为 (~,z) 一 1, 则 -在 QZ, 中 有 乘法 逆 元 
r-!。 考 察 矩 阵 A 的 第 j(j 二 0,1,2,…,n 一 1) 列 。 假 设 a 二 a ， 即 -Xi 十 7 一 ->XR 十 7， 
亦 即 
rxX(i—k)=0 
两 边 乘 以 一 :得 i 二 k, 这 就 证 明了 在 A 的 任 一 列 上 也 不 存在 相同 的 元 素 。 因 此 A 是 
Z, 上 的 一 个 n 阶 拉丁 方 。 
显然 定理 4. 3. 6 就 是 定理 4.3.7 在 r==1 时 的 特殊 情况 。 
定理 4.3.7 中 用 Z 的 乘法 可 逆 元 ~ 构造 的 拉丁 方 记 为 L;。 容 易 证 明 : 如 果 
r 不 是 Z 的 乘法 可 北 元 , 则 用 定理 4. 3.7 中 的 方法 构造 的 矩阵 一 定 不 是 拉丁 方 。 
定义 4.3.4 设 A=(a;) 和 B=(b;) 是 Z, 上 的 两 个 nn 阶 拉 丁 方 。 如 果 n? 个 有 
序 对 (ai ,bi ) 互 不 相同 , 则 称 A、B 是 正 交 拉丁 方 。 
例 4.3.9 不 存在 两 个 2 阶 的 正 交 拉 丁 方 ,因为 2 阶 拉 丁 方 只 有 两 个 : 
0 1 1 0 
和 路 G 4 


显然 它们 不 是 正 交 的 。 考 察 下 面 两 对 拉丁 方 : 


0 1 2 0 1 2 (0,0) (1,1) (2.2) 
| 2 中 0 | 区 (2,0) on 

2 0 1 1 人- 作 (2,1) (0.2) (1.0) 

,1 王 演 汪汪 (0,0) (1;1) (2,2) (3,3) 
1 0 3 2 3 2 1 0 (1,3) (0,2) (3,1) (2,0) 
和 和 0 | 天- 全 (2,1) (3,0) (0,3) (1,3) 
3 2 1 0 2 3 0 1 (3,2) (2,3) (1,0) (0,1) 
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每 一 对 拉丁 方 相应 位 置 的 元 素 组 成 的 有 序 对 恰好 出 现 一 次 ,所 以 是 正 交 的 。 

正 交 拉丁 方 的 概念 源 于 Euler 提出 的 著名 的 36 名 军官 的 问题 ,其 表述 如 下 。 

有 来 自 6 个 团队 且 分 属 6 种 军衔 的 36 名 军官 ,每 个 团 6 名 ,每 个 军衔 6 名 。 问 
能 否 把 这 36 名 军官 排 成 6 行 6 列 的 方 队 , 使 得 每 行 与 每 列 的 6 名 军官 既 有 不 同 的 军 
衔 又 来 自 不 同 的 团队 ? 

用 0,1,2,3,4,5 把 军衔 和 团队 编号 ,这 样 每 个 军官 可 用 0,1,2,3,4,5 所 构成 的 
二 元 有 序 对 表示 ,其 第 一 个 分 量 表示 该 军官 的 军衔 ,第 二 个 分 量 表示 该 军官 所 属 的 团 
队 。 因 此 36 名 军官 的 问题 就 归结 为 能 否 构 造 一 对 6 阶 正 交 拉丁 方 。Euler 在 1782 年 
猜想 这 样 的 对 不 存在 ,直到 1900 年 左右 ,Tarry 通过 枚 举 法 证 明 Euler 猜想 是 正确 
的 , 即 不 存在 一 对 6 阶 的 正 交 拉丁 方 。 

现在 把 正 交 拉丁 方 的 概念 推广 到 任意 有 限 个 拉丁 方 上 去 。 

定义 4.3.5 设 4:,4:,…,4 是 2Z, 上 的 一 族 n 阶 拉丁 方 。 如 果 它 们 中 的 任意 
两 个 都 是 正 交 的 , 则 称 A1 ,As，… ,A 是 正 交 的 ,并 把 它们 称 为 正 交 拉丁 方 族 。 

定理 4.3.8 设 Ai,A,,…,A 是 Z, 上 的 & 个 nn 阶 正 交 拉 丁 方 , 则 kn 一 1。 

证 明 : 由 前 面 的 讨论 可 知 ,每 一 个 拉丁 方 41 ,4*,… ,A 都 可 以 化 为 标准 型 ,并且 
容易 证 明 这 并 不 影响 它们 的 相互 正 交 性 。 因 此 可 以 假设 这 个 拉丁 方 A41,As,，… ,A 
都 是 标准 型 , 即 它们 第 0 行 位 置 的 元 素 都 是 按 自 然 顺 序 0,1,2,…,n 一 1 排列 的 。 现 
在 考察 这 A 个 拉丁 方 在 第 1 行 第 0 列 位 置 上 的 元 素 。 由 正 交 性 可 知 , 这 & 个 元 素 互 
不 相同 ,同时 它们 都 不 等 于 0, 并 且 都 是 Z, 上 的 元 素 。 所 以 A 生 "一 1。 

如 果 定 理 4. 3.8 中 的 等 号 成 立 , 即 A 一 ?一 1. 则 称 这 个 正 交 族 是 完备 的 。 

下 面 的 定理 说 明 , 当 nn 是 素数 时 ,可 以 构造 出 一 1 个 n 阶 的 正 交 拉丁 方 。 

定理 4.3.9 若是 素数 , 则 二 ,,…,L”! 是 nn 一 1 个 nn 阶 的 正 交 拉丁 方 。 

证 明 : 因 是 素数 , 则 2Z, 的 非 零 元 都 是 可 逆 的 。 由 定理 4.3.7,L;,L?,…,L»! 
都 是 nn 阶 拉丁 方 。 令 rr 和;s 为 Z, 中 任意 两 个 互 异 的 非 零 整数 ,下 证 L; 和 L; 是 正 交 
的 。 假 设 L; 和 ZL; 相应 位 置 元 素 构 成 的 n? 个 有 序 对 中 有 两 个 是 相同 的 。 不 妨 设 
i 行 j 列 上 的 有 序 对 和 k& 行 1 列 上 的 有 序 对 相同 .其 中 ik 或 者 j 隆 !/。 由 定理 4.3.7 中 
L; 和 无: 的 定义 知 

rxXi+j 二 rxXk 二 1 及 xi 十 7 一 sXR 十 / 
改写 这 个 方程 得 到 
rXG 一 A) 一 /一 及 sxXG 一 A) 一 :一 7) 


从 而 
rxX(i—k)=sX (i—k) 

车 ik&, 即 i 一 & 隆 0, 从 而 它 是 Z，, 中 的 可 逆 元 ,上 式 等 式 两 边 同 时 乘 以 ;一 & 的 道 元 
(i 一 k) 1!, 得 rr 二 s, 与 7 和 s 互 异 天 盾 , 因 此 必须 使 ;一 上 A。 再 将 ;一 上 代入 前 一 个 方程 ， 
得 ) 一 ,与 假设 矛盾 。 所 以 工 : 和 区 : 相应 位 置 元 素 构 成 的 n? 个 有 序 对 中 没有 两 个 是 
相同 的 ,也 就 是 说 L; 和 区 ; 是 正 交 的 。 由 和 xs 的 任意 性 知 ,Li,L:,…,L*! 是 正 交 
的 拉丁 方 族 。 

我 们 知道 ,有 限 域 中 元 素 的 个 数 总 是 一 个 素数 的 过。 反 过 来 ,对 于 每 一 个 素数 p 
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和 每 一 个 正 整数 k 总 存在 含有 pr* 个 元 素 的 有 限 域 。 现 在 把 定理 4. 3. 7 和 定理 4. 3. 9 
推广 到 有 限 域 上 。 
设 下 是 含有 nn 二 pr* 个 元 素 的 有 限 域 ,其 中 p 是 素数 ,k 是 正 整 数 。 记 下 的 元 
素 为 
ao 一 0,ayaz，… ar 1 
ao 是 下 的 零 元 。 考 虑 下 的 任意 非 零 元 a,(r 隆 0), 并 定义 nn 阶 方 阵 A 二 (Cai) 如 下 : 
aij arXata; isj=0,1,2,°…,n—1 
其 中 的 运算 是 域 正中 的 运算 。 完 全 类 似 于 定理 4. 3.7 的 证 明 , 知 A 是 下 上 的 nn 阶 拉 
丁 方 。 用 Lr 表示 以 这 种 方法 构造 的 拉丁 方 , 于 是 按照 定理 4. 3. 9 的 证 明 ,得 到 "一 1 个 
nn 阶 的 正 交 拉丁 方 族 : 
和 (4.11) 
把 上 面 的 事实 概括 为 下 面 的 定理 。 
定理 4.3.10 令 n 二 p* 是 一 个 整数 , 它 是 素数 p 的 突 。 则 存在 7 一 1 个 nn 阶 的 
正 交 拉丁 方 族 。 事 实 上 ,从 含有 n= p* 个 元 素 的 有 限 域 构造 的 一 1 个 nn 阶 拉 丁 方 
(4.11) 就 是 n 一 1 个 n 阶 的 正 交 拉丁 方 。 
例 4.3.10 显然 xz? 十 x 十 1 是 Z, 上 的 不 可 约 多 项 式 。 设 a 是 式 十 x 十 1 的 一 个 
根 ,把 a 添加 到 Z 上 得 到 一 个 四 元 域 下 。 因 为 是 好 十 z 十 1 的 一 个 根 ,所 以 十 a 十 1 二 
0, 即 
az = 一 a 一 1 二 a 十 1 


因此 ,FF 二 {0,1,a,a*}。 在 此 四 元 域 上 ,应 用 定理 4. 3. 9 的 构造 方法 得 到 下 列 拉丁 方 : 


0 TD 六 OQ Ym 汉 0@ 1 aa 

Li 一 1 0 az @a ee a a2 0 1 ? 加 a2 @a 1 0 
a az 0 1 a a 1 :0 1 
a a 1 0 LY 0 a i a a 0 


直接 验证 可 知 ,Li,Li .Lf? 是 下 上 的 3 个 4 阶 正 交 拉丁 方 。 

下 面 的 定理 给 出 了 nn 一 1 个 阶 的 正 交 拉丁 方 与 区 组 设计 之 间 的 一 种 关系 。 

定理 4.3.11 令 "全 2 为 一 整数 。 如 果 存 在 nn 一 1 个 nn 阶 的 正 交 拉丁 方 , 则 存在 
具有 参数 

b=m+n, v=n, k=n, r=n++l, A=1 (4.12) 

的 可 解 的 BIBD。 反 之 ,如 果 存 在 具有 式 (4. 12) 中 参数 的 BIBD, 则 存在 7 一 1 个 nn 阶 
的 正 交 拉丁 方 。 

证 明 : 先 证 定理 的 前 半 部 分 。 设 Ai.A4:;,….A,-1 是 nn 一 1 个 n 阶 的 正 交 拉 丁 方 ， 
下 面 使 用 nn 十 1 个 矩阵 


R,,S, ,Ai:As,….,A, i (4. 13) 
来 构造 具有 式 (4. 12) 中 参数 的 可 解 BIBD, 其 中 
0 0 … 0 0 1 … 7 一 1 
三 1 1 = n—1 


| 0 了 we 
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令 A;(k) 表 示 4; 被 &(k 二 0,1,…,n 一 1) 占 据 的 位 置 的 集合 。 因 为 A; 是 一 拉丁 
方 ,所 以 A;(k) 包 含 每 一 行 每 一 列 上 的 位 置 , 且 A;(k) 没 有 属于 同一 行 或 属于 同一 列 
的 两 个 位 置 。 对 R, 和 S, 也 用 这 个 记号 。 
将 样品 集 V 取 作 nn Xn 和 矩阵 的 v= 二 mn? 个 位 置 的 集合 , 即 
V= {71ij)=0,1,.…,n— 1)} 
式 (4.13) 的 n 十 1 个 矩阵 的 每 一 个 都 确定 n 个 区 组 : 


Lad I GE (4. 14) 
S07 (4. 15) 
A = 

: : : (4. 16) 
A A 


这 样 就 有 2 一 2X (2 十 1) 一 2 十 ?2 个 区 组 ,每 个 区 组 含有 k= 二 nn 个 样品 。 令 B 表示 这 些 
区 组 的 集合 。 为 了 证 明 B 是 具有 参数 (4. 12) 的 BIBD, 只 需 验 证 每 一 对 样品 恰好 在 
4 三 1 个 区 组 中 。 有 下 面 3 种 可 能 情况 。 

(1) 同行 的 两 个 样品 : 它们 恰好 出 现在 式 (4. 14) 的 一 个 区 组 中 ,但 不 在 其 他 区 
组 中 。 

(2) 同 列 的 两 个 样品 : 它们 恰好 出 现在 式 (4. 15) 的 一 个 区 组 中 ,但 不 在 其 他 区 
组 中 。 

(3) 两 个 样品 人 ,7 力 和 (Cgq) 属 于 不 同 的 行 和 不 同 的 列 : 显然 ,这 两 个 样品 不 会 同 
时 存在 于 式 (4. 14) 和 式 (4. 15) 的 任意 一 个 区 组 中 。 假 设 它们 同时 存在 于 区 组 A,(e) 
和 A,( 让 中 ,这 意味 着 : A, 的 i 行 7 列 的 位 置 和 zp 行 gq 列 的 位 置 存在 着 元 素 e, 且 在 
4, 的 同样 的 位 置 存 在 着 元 素 上 。 如 果 天 xs: 那么 有 序 对 (e, 记 出 现 两 次 ,与 4 和 A， 
的 正 交 性 矛盾 。 所 以 一 *, 这 说 明 A, 同时 有 e 和 了 在 i 行 j 列 的 位 置 和 pp 行 g 列 的 
位 置 ,于 是 必 有 ee 二 f。 因 此 A,(e) 和 A,(f) 是 同一 区 组 。 由 此 可 以 断定 , (i,j) 和 
(p,q) 至 多 在 同一 个 区 组 中 。 

下 面 来 说 明 每 一 对 样品 恰好 在 一 个 区 组 中 。 已 知 共 有 xn? 个 样品 ,它们 可 以 构成 


于 5 二 也 个 对 。 每 一 对 至 多 在 一 个 区 组 中 ,共有 十 中 个 区 组 ,每 个 区 组 及 个 样 


品 , 从 而 包含 22 二 二 个 对 ,于 是 对 于 所 有 的 区 组 共有 


(m+n) x 


n(n— 1) ?2 (7 一 1) 
2 2 


个 对 ,而 这 恰好 又 是 样品 的 总 对 数 。 因 此 由 铝 梨 原理 ,每 一 对 样品 恰好 在 一 个 区 组 
中 。 从 而 BB 是 具有 参数 (4.12) 的 BIBD。 
容易 看 出 上 面 所 构造 的 B 是 可 解 的 。n? 十 nn 个 区 组 的 集合 分 成 nn 十 1 部 分 (可 解 
类 ) ,每 部 分 n 个 区 组 ( 见 式 (4.14)、 式 (4.15) 和 式 (4. 16)), 而 每 个 可 解 类 均 为 n? 个 
品 的 一 个 划分 。 
对 于 定理 后 半 部 分 的 证 明 . 仅 叙述 构造 n 一 1 个 n 阶 的 正 交 拉 丁 方 的 方法 ,具体 
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细节 留 给 读者 自己 去 验证 。 设 有 一 个 具有 参数 (4. 12) 的 可 解 的 BIBD, 记 为 B。 因 为 
有 nm 个 样品 ,并 且 每 个 区 组 含有 个 样品 ,所 以 每 个 可 解 类 包含 nn 个 区 组 。 又 由 于 
存在 n 十 n? 个 区 组 ,因此 存在 ”十 1 个 可 解 类 
Bi ,B, ,… ,Bn 
令 B, 中 的 区 组 是 
Ho, Hi,*…,H, 
并 令 B41 中 的 区 组 是 
VosVis ,Ve 
所 以 任意 取 定 一 个 样品 z, 一 定 存在 有 Hs。, Hi,…, 昌 ,-!1 中 唯一 的 一 个 区 组 Hi, 使 xE 
Hi ,同样 也 存在 Vo ,Vi ,… ,Vi 中 唯一 的 一 个 区 组 Vj ,使 EV;。 这 样 每 一 个 样品 式 
都 对 应 于 一 个 有 序 对 Gi.), 又 因为 4==1, 所 以 两 个 不 同 的 样品 不 会 与 相同 的 有 序 对 
对 应 。 于 是 可 以 将 样品 集 看 成 是 有 序 对 组 成 的 集合 : 
V= {7 |i = 0,51, 5n CO— 1) 
现在 考虑 其 他 的 可 解 类 B, (p= 二 1,2,….n 一 1)。 将 Bs 中 的 区 组 记 为 
A C0) ,As Cl) Asn— 1) 
这 些 区 组 将 V 划分 成 个 大 小 为 n 的 集合 。 做 nXn 和 矩阵 A,, 使 它 在 位 置 集合 
A。(k) 的 每 个 位 置 上 的 元 素 均 为 &。 显 然 A, 是 一 个 拉丁 方 ,事实 上 ,如 果 在 4A。 的 第 
i 行 有 两 个 & ,那么 就 存在 两 个 样品 (ia) 和 (0) ,它们 既 在 区 组 H; 中 ,又 在 区 组 
Ai(k) 中 。 并 且 对 于 p 隆 gq, 可 证 A 和 A 和 ,是正 交 的 ( 留 给 读者 自己 验证 )。 因 此 4, ， 
As,…,A,-1 是 nn 一 1 个 nn 阶 的 正 交 拉 丁 方 。 
定理 4.3.12 设 n 三 3,k 三 2 为 整数 , 则 存在 一 个 由 & 一 2 个 n 阶 拉丁 方 组 成 的 
正 交 族 等 价 于 存在 一 个 n: xx&A 和 矩阵 
A=(ay) i=1,2,°n3j = 1,2,° sk 
其 中 A 的 元 素 是 1,2,…,n, 而 且 A 的 每 一 个 n?*X2 子 阵列 的 ww 行 表示 出 了 1,2,…， 
n 的 全 部 n? 个 重复 2 组 合 。 
证 明 : 设 有 满足 上 述 条 件 的 矩阵 4。 对 4 做 行 置换 得 到 矩阵 召 , 使 如 的 前 两 列 
所 成 的 n?X2 子 阵列 的 行 元 素 排 成 自然 顺序 
151) ,61,2) ,0 ,C1sn) ,2,1) ,2,2) ,0 2.n) se, ns1) ,ns2) ,n,n) 
然后 把 B 的 第 r(r 二 3,4,…,.k) 列 上 的 n? 个 元 素 按 下 面 的 方法 构成 一 个 nXn 矩阵 
B,: B, 的 第 一 行 由 B 的 第 r 列 的 前 个 元 素 组 成 .B, 的 第 二 行 由 B 的 第 -~ 列 的 第 
n 十 1 到 第 nn 十 n 这 个 元 素 组 成 ,…… :如 此 一 直到 B, 的 第 nn 行 由 B 的 第 r 列 的 最 
后 个 元 素 组 成 。 容 易 证 明 . 如 此 作出 的 B;.B,,…,Bi 一 定 是 正 交 拉丁 方 族 。 事 实 
上 ,由 B 的 第 一 行 性 质 可 知 B, 的 每 一 行 上 没有 相同 元 素 , 由 B 的 第 一 列 性 质 可 知 
B, 的 每 一 列 上 没有 相同 元 素 , 所 以 B, 是 拉丁 方 。 男 外 .如 果 r 隆 ;, 则 由 B 的 r,s 两 
列 构成 的 n?X2 子 阵列 的 性 质 知 ,B, 和 B, 是 正 交 的 。 
把 上 面 的 证 明 反 过 来 就 得 到 定理 的 男 一 半 的 证 明 。 
为 了 方便 起 见 .把 定理 4. 3. 12 中 定义 的 nn? Xk 和 矩阵 称 为 正 交 阵列 (orthogonal 
arrary), 记 为 OA(k,n)。 
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4.4 应 用 举例 


4.4.1 基于 正 交 阵列 的 认证 码 


认证 码 是 保障 信息 真实 性 的 一 种 信息 安全 技术 。 假 设 Alice 向 Bob 发 送 一 条 信 
息 ,Alice 可 以 通过 电子 邮件 或 传真 或 移动 电话 把 信息 发 送出 去 ,而 这 些 信道 都 是 不 
安全 的 。Bob 想 要 确认 这 一 信息 是 否 真 的 由 Alice 发 出 ,并 且 还 要 确认 有 没有 人 改 
动 过 Alice 发 出 的 信息 。 这 个 安全 问题 就 可 用 认证 码 技 术 来 解决 。 

下 面 考虑 一 个 名 叫 Oscar 的 外 来 者 攻击 从 Alice 发 送 到 Bob 的 信息 的 可 能 性 。 
假设 Oscar 能 够 简单 地 假冒 Alice 给 Bob 发 送信 息 ,或 者 Oscar 能 够 更 改 由 Alice 发 
送 的 信息 。 为 了 防止 Oscar 的 攻击 ,Alice 在 发 送信 息 的 同时 发 送 一 个 认证 码 。 设 
M 是 所 有 可 能 信息 的 集合 ,C 是 认证 码 的 集合 ,K 是 密 钥 的 集合 。Alice 和 Bob 在 会 
面 时 或 通过 一 个 安全 的 通道 ,事先 选 定 一 个 密 钥 。 假 定 他 们 从 K 中 随机 选取 密 钥 ， 
而 与 每 一 个 密 钥 &E 开 相关 联 的 是 一 个 认证 规则 (authentication rule)xi, 它 把 一 个 
认证 码 x (m) EC 指定 给 每 一 条 信息 mx EM。 如 果 Alice 想 要 把 信息 mm 发 送 给 Bob ， 
那么 她 要 发 出 信息 Gm,c) ,其 中 c==ri (Cm)。 当 Bob 接收 到 信息 Cm,c) 时 ,他 要 检查 c 
是 否 是 ri(m)。 如 果 不 是 ,那么 Bob 有 理由 相信 Oscar 做 了 什么 ,而 且 他 怀疑 这 条 信 
息 的 真实 性 。 当 然 也 有 这 样 的 可 能 : Oscar 正确 地 猜 到 了 (xz) ,这 时 这 个 过 程 就 不 
能 察觉 到 Oscar 的 所 有 攻击 。 然 而 ,如 果 发 生 这 种 可 能 性 的 情况 很 小 ,而 且 与 发 送 的 
实际 信息 无 关 , 那 么 Alice 和 Bob 将 感到 满意 。 

可 以 使 用 定理 4.3.12 中 定义 的 正 交 阵列 OA(p,n) 来 构建 认证 规则 。 假 设 
M=={1,2,…,p},C 二 {1,2,…,n},;K 一 {1,2,…,n?}。 设 矩阵 A 是 一 个 正 交 阵列 
OA(p,n), 且 行 由 下 的 元 素 表 示 , 而 列 由 M 的 元 素 表 示 。 定 义 ri(m) 二 apm。 

如 果 Oscar 把 一 条 信息 Gm,c) 发 送 给 Bob, 那 么 c= 二 ri Cm) 的 概率 是 多 少 呢 ? 我 
们 称 这 一 概率 为 假冒 概率 (impersonation probability)。 可 以 假设 Oscar 知道 矩阵 
4, 但 不 知道 正在 使 用 哪个 密 钥 &E K。 给 定 mr 和 cc, 那么 和 矩阵 A 的 n? 行 中 有 nn 行 
i 可 能 使 得 aj, 二 c<。 因 此 ,如 果 c==ri mm) ,那么 Oscar 选中 某 行 i 使 得 x;(m) 二 c 的 概 
率 为 蕊 一 十 。 因此 这 一 认证 规则 使 得 Oscar 每 n 次 只 有 一 次 机 会 能 成 功 假 冒 Alice。 

如 果 Oscar 简单 地 用 另 一 条 信息 (xm ,c ) 替 换 掉 Alice 发 出 的 信息 Gm,c) ,情况 
又 如 何 呢 ? 即 c= 二 ri lm ) 的 概率 是 多 少 呢 ? 我们 称 这 一 概率 为 欺骗 概率 (deception 
probability)。 换 句 话 说 .欺骗 概率 是 这 样 的 概率 ,Bob 认为 他 接收 到 的 信息 是 可 信 
的 ,因此 落 入 到 Oscar 的 欺骗 之 中 。Oscar 看 到 Alice 发 送 的 信息 Gm,c) ,所 以 他 知道 
re(m) 二 cc, 但 他 不 知道 的 值 。 他 不 得 不 希望 ri (mm') 二 co 。 对 于 A 的 任意 两 列 mr 和 
mm”, 序 对 (c,c ) 正 好 出 现在 A 的 某 一 行 的 这 两 列 上 。 在 A 中 存在 n 个 行 ,在 这 些 行 中 
< 出 现在 列 上 。 因 此 如 果 Oscar 随机 从 这 些 行 中 选 出 一 行 ,那么 他 选取 的 行 中 


< 出 现在 列 mw 上 的 概率 是 二 。 因 此 欺骗 概率 是 十 。 
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Alice 和 Bob 所 选取 的 认证 码 依赖 于 他 们 希望 假冒 概率 和 欺骗 概率 小 到 什么 程 
度 。 对 于 认证 码 的 更 多 内 容 请 参见 文献 [4] 。 


4.4.2 基于 正 交 阵列 的 门限 方案 


在 实际 应 用 中 往往 存在 这 样 的 情形 , 某 一 项 决策 或 行动 非常 敏感 ,需要 一 个 小 组 
里 的 若干 成 员 的 同意 。 例 如 ,发动 核 攻击 的 密码 ,或 银行 里 需要 若干 人 同时 打开 的 保 
险 库 等 都 属于 这 种 情况 。 这 个 安全 问题 就 可 用 门限 方案 来 解决 。 

假设 I 是 由 p 个 人 组 成 的 集合 ,k 是 启动 某 项 行动 (如 打开 保险 库 或 发 动 核 攻 
击 ) 的 密 钥 ,g 宇 2 是 一 个 固定 的 整数 ,而 且 我 们 希望 确认 小 组 中 的 任意 dg 个 人 可 以 一 
起 决定 & ,而 只 要 少 于 个 人 都 决定 不 了 &。 在 较 高 的 概率 下 实现 这 一 功能 的 方法 称 
为 一 个 (g,p) 门 限 方案 ((g,p)-threshold scheme)。 固 定 一 个 密 钥 集 K ,并 确定 一 个 
不 在 I 中 的 管理 者 ,这 位 管理 者 发 给 每 个 人 关于 上 的 部 分 信息 ,这 些 信息 来 自 于 部 分 
信息 的 集合 已 。 这 位 管理 者 必须 做 到 : 任意 g 个 人 的 部 分 信息 足以 计算 出 ,而 任意 
少 于 g 个 人 的 部 分 信息 则 计算 不 出 上 &。 考 虑 g 王 2 的 情况 。 

假定 KP={1,2,…,n}), 且 设 A=(aj) (i 二 1,2,… ,723j 二 1,2,…,p 十 1) 是 一 
个 OA(p 十 1,n)。 把 A 的 前 p 列 与 参与 者 联系 起 来 ,而 把 最 后 一 列 与 密 钥 联系 起 来 。 
在 这 个 小 组 中 的 所 有 人 都 知道 矩阵 人。 给 定 AE 天 , 设 尺 一 (i:aro+l 一 A), 它 表示 
4 的 最 后 一 列 等 于 k 的 那些 行 组 成 的 集合 ,这 位 管理 者 随机 选 出 某 行 i€ Ri ,并 把 部 
分 信息 ou 给 第 个 人 (把 此 人 仍 记 为 zx) 。 

第 人 和 第 v 人 能 决定 密 钥 & 吗 ? 假设 4 得 到 部 分 信息 p, 而 v 得 到 部 分 信息 
pu: 因为 A 是 一 个 OA(p 十 1,n), 所 以 存在 唯一 一 行 i, 使 得 a 二 pusaw 二 pv,; 即 wu、v 
能 决定 i, 因 此 能 够 寻找 到 wifi ,这 就 是 他 们 所 需要 的 密 钥 A。 

任何 一 个 人 只 基于 他 的 部 分 信息 p, 可 以 决定 密 钥 & 吗 ? 对 于 密 钥 的 任意 可 能 
值 站 ,存在 唯一 一 行 克 对 于 这 一 行 有 尾 一 记 .aiofi 一 驴 ( 因 为 4 是 一 个 OACp 十 1,7))。 
但 是 wx 却 无 法 知道 2 个 可 能 的 行 中 哪 一 行 是 正确 的 ( 即 被 管理 者 随机 选中 的 那 


行 )。 因 此 只 基于 自己 的 部 分 信息 ,wx 正确 地 猜 出 密 钥 的 概率 是 一。 
因此 找到 了 能 以 较 高 的 概率 完成 工作 的 (2,p) 门 限 方案 。 
关于 门限 方案 的 更 多 内 容 可 以 参见 文献 [4]。 

4.4.3 ”基于 区 组 设计 的 匿名 门限 方案 


在 一 个 匿名 (g,p) 门 限 方案 (anonymous(g.p)-threshold scheme) 中 ,pp 个 人 接 
收 到 信息 的 p 个 不 同 部 分 片段 , 且 密 钥 可 以 从 任意 g 个 部 分 片段 计算 得 到 ,而 不 必 知 
道 谁 持 有 哪 一 部 分 片段 。 显 然 在 4. 4. 2 小 节 中 ,由 正 交 阵 列 构建 的 门限 方案 不 是 匿名 
的 。 下 面 利用 可 解 的 (6,v,r,k,A) 设 计 来 寻找 匿名 (gq,p) 门 限 方案 ,特别 是 匿名 (2.,p) 
门限 方案 。 

假设 有 一 个 可 解 的 (6,u:r:&:A) 设 计 , 且 1 一 1: 每 个 区 组 里 有 & 一 户 个 样品 。 设 


Ci Ca :Cr 是 可 解 类 ,而 每 一 个 可 解 类 有 地 个 区 组 ,每 一 个 样品 在 每 一 个 可 解 类 中 
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出 现 一 次 ,所 以 可 解 类 的 数量 可 由 等 式 (4. 4) 计 算 ,为 

Pe st es | 

步 一 是 | 
假设 这 个 组 的 所 有 pp 个 人 都 知道 这 些 可 解 类 。 取 可 能 的 密 钥 集合 KK 为 {1， 
2,…,r) , 且 部 分 信息 片段 的 集合 P 为 V, 即 样品 的 集合 。 假 设 现在 管理 者 想 要 分 配 
密 钥 &E K ,那么 他 从 可 解 类 Ci 中 随机 选取 一 个 区 组 ,并 把 这 个 区 组 中 的 p 个 片段 的 
部 分 信息 给 这 zp 个 人 ,每 个 人 给 一 个 片段 。 注 意 , 现 在 任意 两 个 人 能 够 确定 这 个 密 
钥 &, 因 为 如 果 p, 是 给 某 人 zx 的 部 分 信息 ,p, 是 给 某 人 的 部 分 信息 ,又 因为 4 二 1， 
所 以 这 一 设计 中 存在 唯一 一 个 包含 样品 总 和 p。 的 区 组 .wu 和 w 能 够 找到 这 个 区 
组 ,并 知道 如 果 包 含 总 和 pp 的 区 组 是 在 可 解 类 Ci 中 , 则 这 个 密 钥 就 是 k。 注 意 , 这 

是 匿名 的 ,因为 哪个 人 持 有 哪个 片段 无 关 紧 要 ,重要 的 是 这 两 个 人 持 有 哪些 片段 。 

下 面 的 问题 是 : 持 有 部 分 信息 p, 的 人 (表示 为 zx) 能 确定 出 这 一 密 钥 的 概率 是 多 
少 ? 因为 每 一 个 可 解 类 正好 有 一 个 包含 p, 的 区 组 ,所 以 正确 地 猜 出 管理 者 心中 的 密 


钥 的 概率 为 二 ,其 中 /是 可 解 类 的 个 数 。 这 个 概率 正好 等 于 没有 给 出 部 分 信息 时 正 


确 猿 测 的 概率 。 如 果 7 非常 大 ,那么 就 有 一 个 非常 安全 的 匿名 (2,p) 门 限 方案 。 
例如 ， 


Ci: {1,2,3} {4,5,6} {7,8,9} 
Cs: {1,4,7} {2,5,8} {3,6,9} 
Cs: {1,5,9} (42,6,7} {3,4,8} 
Ci: {1,6,8} {2,4,9} {3,5,7} 


是 一 个 带 有 可 解 类 Ci ,C:.C;,C 的 可 解 的 (12,9,4,3,1) 设 计 。 此 设计 可 用 于 构建 
匿名 的 (2,3) 门 限 方案 。 如 果 管 理 者 想 要 分 配 密 钥 3. 那么 他 在 Cs 中 随机 选 出 一 个 
区 组 ,比如 说 是 {3,4,8}。 这 个 部 分 信息 分 配给 这 个 区 组 中 的 3 个 人 。 例 如 ,3 和 8 
这 两 个 人 知道 管理 者 想 要 的 唯一 区 组 是 {3.4.8), 它 在 C， 中 ,所 以 知道 密 钥 是 3。 


4.5 注 记 


组 合 数 学 的 内 容 从 来 都 是 驳 杂 的 。 本 章 只 介绍 了 组 合 数 学 中 一 些 最 基本 的 概念 
和 内 容 . 有 兴趣 的 读者 可 参阅 文献 [1] 一 [3]。 

组 合 数学 在 信息 安全 中 有 着 广泛 的 应 用 ,这 里 只 给 出 了 几 个 简单 的 实例 。 有 兴 
趣 的 读者 可 参阅 文献 L[5]`[L6]`[L10]。 
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第 5 章 概率 论 方法 与 技术 


在 信息 安全 尤其 是 在 密码 学 中 ,“ 可 能 性 ”起 着 十 分 重要 的 作用 。 密 码 算法 的 安 
全 性 就 是 用 可 能 性 来 衡量 的 ,如 从 已 知 密 文 恢复 明文 的 可 能 性 。 密 码 算法 通常 都 是 
概率 算法 , 即 对 同样 的 输入 ,算法 输出 的 结果 是 分 布 在 一 个 集合 上 的 ,涉及 的 集合 通 
常 都 是 离散 的 。 因 此 ,本 章 主 要 介绍 研究 可 能 性 的 理论 一 一 概率 论 , 并 主要 关注 概率 
空间 为 离散 集合 的 情形 。 本 章 首 先 给 出 事件 .样本 空间 和 概率 的 定义 ,然后 给 ea 
变量 的 概念 ,讨论 一 些 基 本 概念 和 性 质 , 如 期 望 . 方 差 的 定义 和 计算 等 。 随 后 ,讨论 
个 典型 分 布 ,如 二 项 分 布 、 泊 松 分 布 ` 正 态 分 布 等 ,并 进一步 给 出 pe 
的 大 数 定律 ,中 心 极限 定理 等 ,以 及 几 个 常用 和 重要 的 不 等 式 。 最 后 ,用 一 个 例子 说 
明 概 率 论 方法 与 技术 在 密码 学 中 的 基本 应 用 技巧 。 


5.1 事件 .样本 空间 和 概率 


当 对 事务 进行 研究 ,试图 形成 一 些 理论 时 ,最 基础 的 工作 是 要 对 研究 对 象 进行 分 
类 、 概 括 ,形成 概念 , 即 进行 抽象 化 或 理想 化 。 也 就 是 说 ,要 建立 理想 模型 。 概 率 理论 
的 第 一 个 理想 化 是 关于 实验 或 观察 的 可 能 结果 。 

事件 ”把 实验 或 观察 的 结果 叫做 事件 。 事 件 分 为 复合 事件 和 简单 事件 。 复 合 事 
件 是 一 些 简 单 事 件 的 集合 。 在 一 般 的 概率 论 中 ,简单 事件 是 最 基本 的 概念 ,就 像 几 何 
中 的 点 一 样 是 不 定义 的 。 在 具体 应 用 中 ,简单 事件 是 由 具体 情景 来 规定 的 ,代表 可 以 
想象 的 结果 ,用 它们 来 定义 理想 的 实验 。 在 密码 学 中 ,经 常 把 算法 的 一 个 可 能 输出 定 
义 为 简单 事件 。 

样本 空间 简单 事件 也 称 为 样本 点 。 所 有 样本 点 的 全 体 称 为 样本 空间 。 最 多 含 
有 可 数 个 样本 点 的 样本 空间 称 为 离散 样本 空间 。 

事件 之 间 的 关系 及 运算 ”给 定 一 个 样本 空间 2, 用 大 写字 母 表示 事件 , 即 样本 点 
的 集合 。 点 ww 包含 在 事件 A 中 ,用 wEA 表示 。 从 给 定 的 一 些 事 件 出 发 ,经 过 某 些 变 
换 可 以 形成 一 些 新 事件 。 这 些 变换 ,可 以 用 逻辑 的 语言 表述 为 “或 ?"“ 与 "“ 非 ”, 而 用 
集合 论 的 语言 可 以 表述 为 “并 ”“ 交 ”“ 补 ”。 

并 对 于 集合 A 与 B. 称 AUB={wEQlw€EA 或 。EB) 为 集合 A 与 B 的 并 , 表 
示 由 属于 集合 A 或 B 的 点 形成 的 集合 。 用 概率 论 的 语言 .A UB 表示 事件 “ 事 
件 A 与 B 至 少 发 生 一 个 ”。 

交 称 AB 或 A 站 MB 一 {wEQlwEA 且 wEB} 为 两 个 集合 A 与 B 的 交 , 表 示 由 
有 同时 又 属于 集合 B 的 点 形成 的 集合 。 用 概率 论 的 语言 ,AB 表示 事件 
“事件 A 与 B 同时 发 生 ”。 当 A 与 B 不 相交 时 , 称 A 与 B 互 不 相 容 。 

补 如 果 A 是 0Q 的 子 集 , 则 称 A 二 {w€EQ1lw 儿 A) 为 A 的 补 ,表示 0 中 不 属于 
A 的 点 的 集合 。 用 概率 论 的 语言 ,A 表示 事件 “事件 A 不 发 生 ”。 


了 
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差 属于 B 但 不 属于 A 的 点 的 集合 称 为 B 与 A 的 差 , 记 做 B\A。 用 概率 论 的 
语言 ,表示 事件 “事件 B 发 生 , 同 时 A 不 发 生 ”。 

不 可 能 事件 和 必然 事件 空 集 包 表示 不 可 能 事件 ,而 集合 2 称 为 必然 事件 。 

上 述 定 义 可 以 推广 到 任意 有 限 个 事件 的 情形 。 

概率 ”给 定 一 个 离散 样本 空间 0 二 {w|i€ N)} ,假定 对 每 个 点 ww 都 赋予 一 个 非 
负 实 数 , 这 个 数 称 为 ww 的 概率 , 记 为 PrLw;]。 这 些 数 必须 满足 


2) Pr[ow] 一 1 (5.1) 
规定 Pr[ 亿 ]=0。 任 何事 件 A 的 概率 是 A 中 所 包含 样本 点 概率 的 总 和 , 即 
Pr[A] = 2) Pr[Lwi] (5. 2) 
经 常 遇 到 的 一 个 特殊 情形 是 每 个 样本 点 的 概率 相等 。 
容易 得 到 下 面 的 定理 。 
定理 5.1.1 对 给 定 样本 空间 Q 和 事件 A,BCQ, 有 
Pr[A U B] = Pr[LA] 十 PrLB] 一 PrLAB] 《5 3) 


特别 地 ,如 果 A 与 B 是 互 不 相 容 的 , 则 
Pr[A U B] = PrLA] 十 PrLB] 

上 面 的 定理 可 以 推广 到 任意 有 限 个 事件 的 情形 。 

定理 5.1.2 对 给 定 样本 空间 2 和 事件 A:,…,A,S2, 有 

Pr[Ai U … U As] = >) Pr [Ai] 一 >) Pr[AAJ+ 2) PrLAA,A] 

i=1 a ee 
一 一 十 (一 1)"!Pr[AiA,…A,] ‘5 

特别 地 ,如 果 A,,…,A, 是 两 两 互 不 相 容 的 , 则 


Pr[A U … U 4A,] 一 2 PrLA;] Ca 


证 明 : 运用 容 斥 原理 即 得 。 
古典 概 型 对 于 有 限 样本 空间 2, 定义 每 个 样本 点 的 概率 都 一 样 。 这 时 , 事 
件 A 的 概率 就 是 


Pr[A] = 14 | C8.67 


12 
这 里 ,记号 | 妃 | 表 示 集 合 已 所 含 点 的 个 数 。 

例 5.1.1 有 序 样本 考虑 集合 S={a:…:a*}。 任 何 -~ 个 元 素 的 有 序 排列 
(Co ,gj,) 称 为 大 小 为 7 的 一 个 有 序 样本 。 这 样 .就 有 一 个 样本 空间 Q 二 {(aj, ,…， 
aj,) aj, ES), 易 知 1Q| 二 n"。 按 照 古 典 概 型 认为 .这 些 样 本 点 的 概率 是 一 样 的 。 要 问 
样本 中 的 元 素 互 不 相同 这 样 的 事件 的 概率 有 多 大 ? 即 事件 A 一 {(w ,ai ) |aj, 关 
Qj ,;j 关 k&} 的 概率 如 何 ? 显然 ,1Al 二 nn( 一 1)…(n 一 r 十 1) 二 (nn),。 因 此 


(17), 于 各 = 
PrLA] = 全 人 @ 1 We 。 )*( 和 ) (5.7) 
这 个 例子 有 一 个 常见 的 解释 。 假 设 某 一 班 中 有 -个 学 生 ,每 个 学 生 的 生日 在 一 
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年 的 365 天 中 是 等 可 能 的 。 问 “个 学 生 中 至 少 有 两 人 的 生日 在 同一 天 ”的 概率 有 多 
大 ? 根据 式 (5.7) ,这 个 概率 为 


Wal 一 让 证 A 本 三 下 一 各 名 六 


365" 
在 ”一 23 时 ,上 式 的 值 为 0.5073。 即 : 当 一 个 班 有 23 名 学 生 时 ,至 少 有 两 个 人 的 生 
日 在 同一 天 的 概率 就 超过 了 1/2。 上 述 原理 在 密码 学 中 被 用 来 估计 找到 杂凑 函数 的 
碰撞 消息 的 概率 。 由 于 上 面 的 解释 ,这 种 方法 被 称 为 生日 攻击 。 


5.2 条 件 概 率 和 独立 性 


条 件 概率 ”条件 概率 是 概率 论 中 的 一 个 基本 工具 。 对 于 一 个 给 定 条 件 A, 考 虑 
各 种 事件 的 条 件 概率 相当 于 把 A 看 作 一 个 新 的 样本 空间 。 为 了 使 新 的 样本 空间 的 


总 概率 为 1, 需 将 原 空间 中 所 有 事件 的 概率 都 乘 上 因 子 志 E。 这 说 明 , 所 有 概率 的 
一 般 定 理 , 对 在 任何 给 定 条 件 下 的 条 件 概率 依然 成 立 。 


定义 5.2.1 设 PrLA]>0。 称 


Pr[LAB] 
PrLA] 


为 在 事件 A 的 条 件 下 ,事件 B 的 条 件 概 率 , 记 为 PrLBIA]。 
全 概率 公式 和 乘法 公式 ”考虑 样本 空间 2 的 一 个 划分 , 即 一 组 两 两 互 不 相 容 事 
件 Al1,…,A, ,满足 A1U…UA, 二 QQ。 显然， 
B= BAI.U … U BA, 


(5.8) 


因此 ,由 定理 5.1.2, 有 


Pr[B] = 2 PrLBA,] (5.9) 
由 条 件 概 率 的 定义 5.2.1, 有 
PrLBA,] = PrLB | AiJPrLA;] C5 10% 
于 是 ,有 全 概率 公式 
Pr[LB] = > PrLB | A]PrLAi] (5.11) 
由 条 件 概率 的 定义 5.2.1 知 : 当 了 PrLA] 二 0 时 ,有 
Pr[AB] = Pr[LB | A]PrLA] 5. 12% 


该 式 称 为 乘法 公式 。 用 数学 归纳 法 可 将 其 推广 : 假设 事件 A .,….,A, 满足 条 件 
Pr[A,…A。] 二 0, 则 


Pr[A,…A,] = Pr[LA,]Pr[LA, | A,]…PrLA。| Ai…A,.1] 《5 了 3 
贝 叶 斯 公式 ” 设 PrLA]>0,PrLB] 二 0。 由 乘法 公式 (5. 12) ,有 
PrLAB] = PrLB | A]PrLA] = PrLA | B]PrLB] (5. 14) 


由 此 得 到 贝 叶 斯 公式 
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PrLA]PrLB | A] 
PrLBj 
贝 叶 斯 定理 如 果 事 件 组 Ai,…:,A, 是 2 的 一 个 划分 , 则 由 全 概率 公 

式 (5. 1175 有 


Pr[LA | B] 一 《55152 


Pr[AiJPr[LB | Ai 
BD) Pr[A)]PrLB | A,] 


例 5.2.1 假设 时 中 有 两 枚 硬币 : A; 为 对 称 的 硬币 , “正面 *Z 出 现 的 概率 等 于 
1/2; 而 A;: 为 不 对 称 的 硬币 ,“ 正 面 *Z 出 现 的 概率 等 于 1/3。 随 意 选 出 一 枚 硬币 ,并 
将 其 投掷 ,结果 出 现 正面 。 问 选 到 硬币 为 对 称 硬 币 的 概率 多 大 ? 

首先 建立 概率 模型 。 选 取样 本 空间 0 二 {A12Z.A1F,AsZ,As 下 } 用 以 描绘 选取 和 
投掷 的 结果 ,其 中 AZ 表示 “选中 硬币 A, 并 掷 出 正面 Z” 等 ,下 表示 硬币 掷 出 反面 。 
根据 假设 ,有 


PrLA, | BJ] 


(5.16) 


Pr[A1] 一 Pr[As] 一 记 


和 
Pr[Z 1A1] 一 去 ，Pr[Z1A:] 一 
由 式 (5. 12) ,这 些 条 件 就 唯一 确定 了 各 结果 的 概率 ，: 
Pr[A12] 一 士 ，Pr[A1F] 一 十 ，Pr[AsZ] 一 上 二，Pr[AsF] 一 十 


由 贝 叶 斯 定理 ,“ 选 到 硬币 为 对 称 硬币 ”的 概率 为 


a Pr[AiJPr[Z | Ai] 二 加 
Pr[4 | 2] — EATJPMZT AJ HPLA PAZTA 一 


独立 性 ”独立 性 概念 在 一 定 意义 上 对 概率 论 来 说 具有 核心 作用 。 独 立 性 概念 决 
定 了 概率 论 的 特色 .使 概率 论 不 同 于 研究 集合 的 大 小 。 
一 般 情 况 下 ,条 件 概 率 PrLB1A] 不 等 于 “绝对 ”概率 PrLB]。 
定义 5.2.2 称 事件 A 和 B 是 独立 的 或 统计 独立 的 ,如 果 
Pr[AB] = PrLA]PrLB] C5 E73 


1 
3 


当 和 A 和 B 是 独立 的 , 则 有 
Pr[B | A] = PrLB] 

对 于 多 个 事件 ,可 以 有 更 强 的 独立 性 。 

定义 5.2.3 称 集合 Al,… ,A 全 体 独 立 或 全 体 统计 独立 ,如果 对 于 任何 一 1， 
2 ,… ,7 和 1 过 记 二 … 过 i 广 n, 有 

PiLAa :<A ] = PrLA: J::*PrLA; 

一 般 说 来 ,两 两 独立 的 事件 未 必 全 体 独 立 。 

乘积 空间 设 2 和 马 是 两 个 样本 空间 ,考虑 它们 的 直 积 LXS={(w,0)1w€EQ， 
9EES} . 称 QXS 为 Q 和 三 的 乘积 空间 ,如 果 每 个 样本 点 (wo:0) 的 概率 定义 为 

Pr[(w,0)|] = PrLw]jPrLO] 
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乘积 空间 2XS 的 概率 论 解 释 为 : 具有 样本 空间 Q 和 三 的 两 个 相继 的 独立 实验 
的 样本 空间 。 

上 述 概 念 可 以 推广 到 个 相继 的 独立 试验 的 情形 。 由 此 ,我 们 说 重复 的 独立 试 
验 , 意 指 由 相同 的 样本 空间 做 成 的 乘积 样本 空间 中 的 样本 点 。 

对 于 QX 全 中 形 如 (CA,B) 的 事件 ,其 中 A、B 分 别 是 2 .三 中 的 事件 ,显然 有 

Pr[(A,B)] = PrLA]PrLB] 

例 5.2.2 给 出 一 个 典型 的 重复 独立 实验 : 伯 努 利 试验 序列 。 

在 重复 的 独立 试验 中 ,如 果 每 次 试验 仅 有 两 个 可 能 结果 ,而 且 其 相应 的 概率 在 每 
次 试验 中 都 是 相同 的 , 则 称 这 一 串 重复 的 独立 试验 是 伯 努 利 试验 序列 。 

用 0,、1 记载 每 次 试验 的 结果 ,用 p 表示 1 出 现 的 概率 ,g 表示 0 出 现 的 概率 。 
n 次 伯 努 利 试验 的 样本 空间 Q 含有 长 为 n 的 0,1 串 组 成 的 2" 个 样本 点 , 即 
2 一 (olo 一 (oao)sacE(0,1))。 因 为 试验 是 独立 的 ,所 以 每 个 串 出 现 的 概率 等 于 
各 个 分 量 的 概率 的 乘积 , 即 

Pr[w] = pY"ig Ye 


5.3 随机 变量 .期 望 值 和 方差 


上 节 讨 论 了 各 种 事件 的 概率 ,其 实事 件 和 事件 空间 的 自然 本 性 并 不 重要 ,重要 的 
是 某 种 数字 特征 ,其 值 依赖 于 基本 事件 。 随 机 变量 的 概念 就 抽象 出 了 人 们 关心 的 结 
果 的 数值 特征 。 

随机 变量 任 一 定义 在 样本 空间 上 的 实 值 函 数 称 为 随机 变量 。 令 X 为 随机 变 
量 ,z 为 X 的 一 个 取 值 。 所 有 使 得 X 取 值 x 的 样本 点 构成 事件 , 记 为 X= 二 x, 其 概率 
记 为 Pr[X 二 zj, 称 为 随机 变量 X 取 值 x 的 概率 。 

分 布 函数 pz): 王 PrLX 一 2z] 叫 做 X 的 (概率 ) 分 布 。 严 格 地 说 ,集合 {p(x)) 
叫做 X 的 (概率 ) 分 布 ,而 p(xz) 叫 做 该 分 布 的 密度 函数 。 实 际 上 ,无 论 是 分 布 还 是 密 
度 函 数 都 是 指 的 同一 件 事情 ,只 不 过 有 整体 和 局 部 的 不 同 。 因 此 ,在 不 引起 不 便 的 前 
提 下 ,在 本 书 中 不 严格 区 分 这 两 个 概念 :而 含混 地 称 为 分 布 。 

随机 向 量 与 联合 分 布 考虑 定义 在 同一 个 样本 空间 中 的 两 个 随机 变量 XX 和 YY， 
向 量 (X,Y 称 为 随机 向 量 。 同 时 满足 X= 二 x 和 Y= 二 yy 这 两 个 条 件 的 样本 点 的 全 体 构 
成 一 个 事件 ,其 概率 记 做 Pr[X 二 x,Y 一 yj]。 函 数 plz,y):=Pr[X=zxz,Y= yj 叫做 
X 了 的 联合 (概率 ) 分 布 。 对 一 个 分 量 求 和 ,就 得 到 关于 另 一 个 变量 的 分 布 ,叫做 边 
缘分 布 ,如 pz): 二 >》)Pr[X 二 xz,Y = yj] 就 是 X 的 分 布 。 随 机 向 量 和 联合 分 布 这 


两 个 概念 完全 可 以 推广 到 多 个 随机 变量 的 系统 上 去 。 
独立 随机 变量 设 Xi .…:,X, 为 随机 变量 ,如 果 对 任意 zj ,… ,zs,* 有 
PrLX， = zi ,X, = Ze] 一 PrLX = zi]…PrLX。 = zx,] (5.18) 
则 称 随机 变量 Xi ,…,X, 为 (全 体 ) 独 立 的 。 
期 望 ” 对 随机 变量 取 值 的 概率 加 权 平 均 就 得 到 期 望 的 概念 。 
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定义 5.3.1 设 X 为 一 个 随机 变量 ,其 可 能 取 的 值 为 zi ,zs，… ,zi ,车 级 数 
E(X): 一 >)zxPrLX = zi] (5. 19) 
绝对 收敛 , 则 定义 这 个 级 数 的 值 为 X 的 期 望 。 这 时 就 说 X 有 有 限 的 期 望 。 如 果 
2 | xl PrCX = ze] 发 散 , 则 说 X 没有 有 限 的 期 望 。 
定理 5.3.1 对 任 一 函数 g(x) ,定义 一 个 新 的 随机 变量 p(X)。 如 果 PCX) 具 有 
有 限期 望 , 则 
E(g(X)) = >)p(ze)PrLX = zi] (5. 20) 
此 处 的 级 数 绝对 收敛 当 且 仅 当 EC(yp(X)) 存 在 。 对 任 一 常数 a, 有 El(aX) 二 aE(X)。 
证 明 :; 由 期 望 的 定义 ,有 ECp(CX)): 二 >)p(Cze)PrLp(CX) 一 p(x4)]。 而 
Pr[p(X) 二 p(x)] 一 ”2) Pr[LX = zi]。 从 而 定理 成 立 。 


ER LpCzk) 
定理 5.3.2 如 果 Xi ,…:'X。 都 是 具有 有 限期 望 的 随机 变量 , 则 它们 的 和 的 期 
望 存在 , 且 其 和 的 期 望 就 等 于 期 望 的 和 : 
ECRi 二 mA 二 BCR) T+ EC(X,Y C5.21) 
证 明 : 只 需 对 "一 2 进行 证 明 。 由 期 望 的 定义 ,有 
E(Xi + Xs) = D>)zPrLX, 十 Xs = <] 


一 > >» PrLXi = x1,X: 一 zz] 


和 
一 >)(Cz 十 za) 2) PrLX 一 xi,Xs 一 zz] 
后。 
= 区 1 了 [EX = mss SS 
1 
十 >)z 2) PrLX, = zi,Xs = x2] 
= 
=: > PrL Xi = ws Ks = a 
用 a 
省 DD) zs p33 PrLX! = zx1,X: = xz] 
zo Ee 
Ty 


一 PD 了 >)PrLX， | 


< > )xza >)Pr[X， = zx1, Xs 一 zz] 
=E(X1) T+ ECX:s) 
定理 5.3.3 如 果 义 .Y 是 具有 有 限期 望 的 相互 独立 的 随机 变量 , 则 它们 的 积 也 
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是 具有 有 限期 望 的 随机 变量 , 且 
ECXY) = E(XIECY) 5 2 
证 明 : 留 给 读者 。 
方差 ”随机 变量 的 方差 和 标准 差 表 征 了 随机 变量 取 值 的 散布 程度 。 
E(X) 称 为 X 的 上 阶 矩 。 如 果 X 的 二 阶 矩 是 存在 的 , 则 可 以 有 下 面 的 定义 。 
定义 5.3.2 称 
Var(X): = E((X—E(X))’:) = E(X’) — (E(X))’ (5. 23) 
为 随机 变量 X 的 方差 。 称 o: 二 VVar(X) 为 标准 差 。 
定理 5.3.4 如 果 XY 是 具有 有 限期 望 和 方差 的 相互 独立 的 随机 变量 , 则 
Var(X 十 Y) = Var(X) 十 Var(Y) (5. 24) 
证 明 : 设 E(X) 二 jx,E(Y) 二 jy。 因 为 X、Y 独立 ,由 定理 5.3.3, 有 E(XY 站 = 
Apxpr 。 于 是 
Var(X 十 Y) 一 巨 (( 和 十 Y)2) 一 (px 十 pr)2 
一 巨 C(X2 十 2XY 十 Y2) — (Cp¥ 2pxpr + 2) 
=E(X’) +2E(XY) 十 已 (Y2) — yp — 2pxpr 一 /好 
EC(X’)— p+ ECY’)— p+2E(XY) — 2yxpr 
一 Var(X) 十 Var(Y) 
另 一 方面 , 当 X.、Y 相关 时 ,Var(X 十 Y) 与 Var(X) 十 Var(Y) 可 能 不 同 。 
定理 5.3.5 令 wb 为 常量 。 则 
Var(CaX 十 0) = azVar(X) C5. 25Y 
证 明 : 设 E(X) 二 xk。 注意 到 El(aX 十 b) 二 aE(X) 十 6。 于 是 
Var(CaX 十 0) =E((aX 十 0)2) 一 (下 CQX +6))? 
Ela?X’?+2abX +6) 一 (an 十 0)2 
=a’E(X’) 十 2cp 已 (和 ) 十 天 一 (azp2 + 2abp + b’) 
=a’(E(X’) 一 Ap2) 


一 azVar(CX) 
例 5.3.1 设 X 是 伯 努 利 随 机 变量 ,以 概率 p 和 g 取 值 1 和 0, 则 X 的 期 望 
E(X)=1XxXPr[LX=1J]+0OXPr[X=0]=p 《5.26) 


X 的 方差 
Var(X) =E((X— E(X))’:) = E((X— p)’) 
=(1—p)*p++p’gq= pg (5.27) 
例 5.3.2 设 X,…,X 是 独立 的 与 例 5. 3.1 同 分 布 的 伯 努 利 随 机 变量 。 设 
S 一 Xi 十 … 十 X,。 则 S 的 期 望 
五 (Su。) 一 下 (Xi) 十 … 十 五 (和 X。) 一 np 《5.:28) 
&S. 的 方差 
Var(S,) 一 Var(CX1) 十 … 十 Var(CX。) = npg 《5.29) 
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5.4 ”二 项 分 布 、 泊 松 分 布 和 正 态 分 布 


本 节 将 围绕 伯 努 利 试验 给 出 一 些 典 型 的 分 布 ,这 些 分 布 在 概率 论 中 有 着 重要 的 
历史 和 现实 意义 。 用 这 些 分 布 之 间 的 逼近 关系 ,还 例 示 了 在 概率 论 中 具有 中 心意 义 
的 大 数 定 律 和 中 心 极 限定 理 。 

在 例 5.2.2 中 ,给 出 了 伯 努 利 试验 序列 的 定义 。 现 在 可 以 用 随机 变量 及 其 分 布 
的 概念 描述 伯 努 利 试验 序列 。 

伯 努 利 试验 仅 有 两 个 可 能 结果 .一 串 重复 的 独立 伯 努 利 试验 就 是 伯 努 利 试验 序 
列 。 如 果 用 0、1 记载 每 次 试验 的 结果 ,用 p 表示 1 出 现 的 概率 ,g 表示 0 出 现 的 概 
率 ,就 定义 了 一 个 取 值 0、1 的 随机 变量 。 用 X 记 第 & 次 试验 的 随机 变量 。n 次 伯 努 
利 试验 就 对 应 着 n 个 随机 变量 义 , ,… .XX, 的 联合 分 布 。 

一 致 分 布 ”对 于 由 长 为 n 的 0、1 串 组 成 的 样本 ,用 U, 表示 取 每 个 串 的 概率 为 
2 的 随机 变量 , 即 其 取 每 个 串 的 概率 都 是 一 样 的 ,其 分 布 函 数 称 为 一 致 分 布 。 这 里 
随机 变量 的 概念 稍 有 扩张 ,其 取 值 不 是 在 实数 域 中 ,而 是 在 0、1 串 上 。 实 际 上 ,一 臻 
分 布 就 是 伯 努 利 试验 序列 p= 二 1/2 的 情形 ,此 时 ,U， 就 是 随机 向 量 (X1,…*,X,)。 

二 项 分 布 在 nn 次 伯 努 利 试 验 中 , 人 们 往往 只 关心 1 出 现 的 个 数 。 令 
SS, 二 Xi 十 … 十 X,, 则 S, 就 是 取 值 为 1 出 现 个 数 的 随机 变量 。 记 5b (k;n,p) 一 
PrLS, 二 jj, 则 65Ck;n,p) 就 是 S, 的 分 布 函数 , 称 为 二 项 分 布 。 易 知 ,b(k;n,p) 一 


( jw k 

古典 大 数 定律 ”对 于 概率 ,有 这 样 一 种 直观 的 概念 : 如 果 在 nn 次 相同 的 试验 中 ， 
A 发生 k 次 ,那么 当 很 大 时 ,上 将 接近 和 A 的 概率 。 

把 这 件 事 精确 化 ,尝试 用 伯 努 利 试 验 来 描述 推导 相应 的 结论 。n 次 相同 的 试验 
理解 为 成 功 概率 为 p 的 伯 努 利 坛 验 序列 。 闻 就 是 成 功 的 平均 次 数 而 且 接 近 p。 考 虚 
学 超过 旋 十 s(e 二 0) 的 概率 , 即 Pr [之 >p+e] 。 


当 r 二 np 时 ,有 
和 Ri 人 三 Der vs ;np) br;n,p) 


v=0 Re 
这 是 因为 此 时 有 
blritv;n,p) ,mt los, ‘a wl Db 
blri+v—1;n,p) (r+ vg 
1 r+v— (nt Dp | -— 《unt 1)p 
(rw)g rg 
<1 一 7 一 功 
< a 


1 
第 5 章 概率 论 方法 与 技术 


和 SD blk;n.p) (rr— np)b(r;n,p) 
k=L(ntD pl 
从 而 当 r 二 np 时 ,有 
ws a 
PrLS, > 7] (r—np)’ 
于 是 ， 
Pr [之 >p+e]— Pr[s, > np+e)]< peYa 
n ne 
因此 , 当 ” 增 大 时 ， 


Pr[ 衬 Se 2 十 =] 一 0 
类 似 可 得 ,Pr [ 完 二 p 一 e] 一 0。 最 后 ,有 
Pr[ 
这 就 是 大 数 定律 。 大 数 定律 反映 了 后 天 试验 的 频率 应 该 接近 先 验 概率 。 
上 面 是 用 分 析 的 方法 给 出 了 古典 大 数 定律 的 证 明 。 下 一 节 可 以 用 概率 不 等 式 给 
出 大 数 定律 的 一 个 更 简洁 的 证 明 。 
泊 松 分 布 ”概率 分 布 丽 数 pCk;X) 二 eA 称 为 泊 松 分 布 。 


二 项 分 布 的 泊 松 逼近 ”对 于 nn 大 .p 小 ,而 乘积 4 二 np 大 小 适中 的 二 项 分 布 ,可 
以 用 泊 松 分 布 台 近 。 首 先 ,对 于 二 0, 有 


bCOsnsp) = (1— p)” Q ) 

取 对 数 并 利用 泰勒 级 数 展开 ,有 
1 ( A A 
gb(l0;n.p) = nlg|l A 和 


因此 .对 于 充分 大 的 有 


DC0572， 力 ) en 
这 里 ,一 表示 相差 阶 为 一 :的 无 穷 小 量 。 其 次 ,对 任 一 固定 & 和 充分 大 nn, 有 


blk;n,p) A= th Ds 2ap Ap—(k— Dp A 
bl(k—1;n,p) Rd kg kg k 
于 是 ,最 终 有 


A 2 2; 
blksn,p) EOCk l;n,p) 人 天 pa A 2;n,p) 


天 
Se 二 


k! 
正 态 分 布 ”函数 
1 加 学 
(XT) 一 一 一 e 2” 
pT 人 


称 为 正 态 密度 函数 , 它 的 积分 
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就 叫做 正 态 分 布 函数 。 
正 态 分 布 的 密度 函数 是 关于 > 轴 对 称 的 平缓 的 钟 形 曲 线 , 正 态 分布 也 可 用 来 通 
近 二 项 分 布 。 
迪 莫 弗 - 拉 普 拉 斯 极限 定理 对 固定 的 二 和 : 当 7~c== 时 ,有 
Pr| = 过 5, 


eM i 0 
本 二 三 :| D(zs) — Bz1) 

注意 : @ 迪 莫 弗 - 拉 普 拉 斯 极限 定理 讲 的 是 正 态 分 布 对 二 项 分 布 的 主要 部 分 的 
近 。 而 二 项 分 布 的 泊 松 逼近 是 对 二 项 分 布 的 每 一 项 用 泊 松 分 布 在 特殊 情形 下 的 


仿生 
忒 


@ 古典 大 数 定 律 和 迪 莫 弗 - 拉 普 拉 斯 极限 定理 是 5.5 节 的 一 般 大 数 定律 和 中 心 
极限 定理 情形 为 伯 努 利 试验 时 的 特例 。 


5.5 大 数 定 律 和 中 心 极 限定 理 


首先 给 出 一 般 的 大 数 定律 和 中 心 极限 定理 。 然 后 给 出 一 些 特 殊 的 更 精确 的 大 数 
大 数 定律 ” 设 {X} 是 相互 独立 且 具 有 公共 分 布 的 随机 变量 序列 。 如 果 其 期 望 
4 三 E(X) 存 在 ,并 令 S, 二 Xi 十 … 十 X,, 则 对 每 个 e 二 0, 当 mn 一 呈 总 有 
Pr[ p>e] -0 (5. 30) 
即 平均 数 S,/n 与 期 望 j 之 间 的 偏差 小 于 任意 给 定 的 s 的 概率 趋 于 1。 
中 心 极限 定理 ” 设 {X} 是 相互 独立 且 具 有 公共 分 布 的 随机 变量 序列 。 假 定 j= 二 EE 
(Xj 和风 二 Var(Xi) 都 存在 ,并 今 S, 二 Xi 十 … 十 X,, 则 对 每 个 固定 的 B, 当 mn 一 oo 总 有 


P| <8|- op (5. 31) 
oNn 
其 中 B(B) 是 正 态 分 布 函数 。 

在 这 里 不 打算 给 出 大 数 定律 和 中 心 极 限定 理 的 证 明 。 读 者 可 以 参考 任何 一 本 概 
率 论 的 标准 教程 。 

注意 : 式 (5. 31) 比 式 (5. 30) 强 ,这 是 因为 式 (5. 31) 给 出 了 偏差 |n7!S, 一 | 二 
a/wWz 的 概率 的 估计 值 。 另 一 方面 ,大 数 定律 并 不 要 求 Xe 具有 有 限 方差 ,从 这 种 意义 
上 讲 , 它 比 中 心 极 限定 理 更 一 般 。 

上 述 大 数 定律 和 极限 定理 都 没有 给 出 精确 的 估计 。 借 助 一 些 概率 工具 ,如 切 比 
雪夫 不 等 式 等 ,可 以 得 到 一 些 更 精确 的 大 数 定 律 ( 在 较 强 的 假设 下 :也 以 不 等 式 的 形 
式 出 现 )。 这 些 不 等 式 本 身 也 是 非常 有 用 的 ,值得 单独 介绍 。 

定理 5.5.1( 马 尔 科 夫 不 等 式 ) 设 X 是 非 负 随机 变量 。 则 对 任意 s 闻 0, 有 


Pr[X 过 可 过 三 2 SS 全 
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证 明 : E(X) 一 2)zxPr[X 一 xz] 一 2)zPr[X = zj+ DzPrLX = z] 


I>e 


2 >)zPrLX 一 攻 - ed)PrLX = xX] = ePrLX 三 时 


ze ze 


定理 5.5.2( 切 比 雪夫 不 等 式 ) 设 X 是 任 一 随机 变量 ,其 期 望 和 方差 都 存在 。 
则 对 任意 s 字 0, 有 


Pr[| X— ECX) < (5. 33) 
证 明 : 令 Y 二 (X 一 E(X))*。 利 用 马尔 科 夫 不 等 式 
Prt| X— ECK) |e] =PiL(X — EC(X))’ Se:] 
二 站 的 芝 证 过 £2 Yer2) 
定理 5.5.3 设 {X,} 是 相互 独立 且 具 有 公共 期 望 w 和 方差 os 的 随机 变量 序列 。 
则 对 任 e 二 0, 有 
Pr[ 


Ls 2 
> 一 = < 二 
ZX 4|=:]< 臣 (5. 34) 


证 明 : 令 S, 一 十 内 X。。 由 定理 5. 3.4 和 定理 5. 3.5, 有 


Var(X1) 十 … 十 Var(X,) oa 


Var(S,) = 
n n 


由 切 比 雪夫 不 等 式 , 有 


Pr[Ll:S: =j 兰 到 起 


Var(Ss) 一 本 
e? ne 


5.4 节 中 的 古典 大 数 定律 显然 是 定理 5. 5. 3 的 推论 。 
上 述 结果 可 推广 到 期 望 和 方差 不 同 的 两 两 独立 的 随机 变量 {Xi)?-1 上。 此 时 , 令 


4 二 十 >1E(X,), 有 
72 p=1 


Pr[ 


LOx >] < Ce (5. 35) 


k=1 ne 
定理 5.5.4(Chernoff/Hoefding 界 ) 设 {X} 是 具有 期 望 的 、 全 独立 的 随机 变 
量 , 且 Xi ELa,65]。 则 对 任 e 二 0, 有 


Pr| | 记 2X DEX) |>e]< 2 (5. 36) 
nn pT n Pt 
特别 , 当 XEL0,1J] 时 ,有 
Pr |X EX |e]< 2 (5. 37) 
np=1 12 p=1 


这 个 不 等 式 的 证 明 需 要 一 些 复杂 的 技巧 ,在 这 里 不 给 出 证 明 。 读 者 可 参阅 文 
献 [4j 第 2 章 第 2 节 。 


8 
让 信息 安全 中 的 数学 方法 与 技术 


5.6 应 用 举例 


收缩 序列 是 一 类 已 证 明 具 有 较 长 的 周期 、 较 高 的 线性 复杂 度 和 良好 的 统计 特性 

序列 ,似乎 是 一 类 良好 的 密 钥 流 生 成 器 。 但 不 少 文献 中 都 指出 了 这 类 生成 器 存在 
的 安全 缺陷 ,这 些 分 析 表 明 ,收缩 序列 体制 可 以 部 分 地 被 破译 。 本 节 分 析 收 缩 序列 的 
一 个 方法 ,以 说 明 概 率 论 方法 与 技术 在 密码 分 析 中 的 应 用 。 该 方法 的 基本 思路 是 : 
首先 进行 初步 理论 统计 分 析 ,其 次 构造 出 与 输入 序列 有 较 高 符合 率 的 拟 合 序列 ,最 后 
使 用 快速 相关 攻击 方法 可 以 部 分 地 破译 这 种 体制 。 因 为 这 里 只 是 为 了 说 明 概 率 论 方 
法 与 技术 的 应 用 ,所 以 只 介绍 如 何 完成 前 两 步 。 


5.6.1 收缩 生成 器 的 描述 


收缩 生成 器 由 两 个 LFSR 构成 。 通 过 用 一 个 LFSR; 选择 另 一 个 LFSR; 的 输出 
来 生成 密 钥 流 ,参见 图 5. 1。 
输入 : 参数 : 两 个 LFSRCfi(z),Li) ,i=1,2， 
密 钥 : 两 个 LFSR 的 初始 状态 a5? ,as” 
对 i 二 1,2,…, 完 成 下 列 步骤 ( 记 | 
LEFSR, 的 生成 序列 是 y? yf? ，… i 2 .) 时 钟 | [i a iy0 1 答 由 > 


(1) 移 位 LFSR, 并 产生 yp， [rsrs | 1 
(2) 移 位 LFSRs 并 产生 2 区 六 
y=0” 删 去 3 


(3) 如 果 y 中 二 1, 则 置 久 -sx 
如 果 yf? 一 0, 则 删 去 yf 
输出 : 序列 {Ai|z 全 1)。 


5.6.2 收缩 序列 的 初步 理论 统计 分 析 


将 LFSRi 产生 的 序列 即 输 入 序列 记 为 a 二 (ao,a,…,),LFSR, 产生 的 序列 即 
控制 序列 记 为 ;二 (50,51，…,), 最 后 产生 的 收缩 序列 记 为 上 二 (Eo ,El,…,)。 这 里 假 
定 a 和 s 都 是 m 序列 ,LFSR, 的 级 数 为 n。 

对 控制 序列 ;， 设 在 其 一 个 首尾 相 接 的 周期 段 中 ,具有 前 i(i 二 0,1,…,n 一 1) 比 特 
全 为 0, 第 i 二 1 比特 为 1 这 样 特性 的 ”长 截 段 出 现 的 概率 分 别 为 po,pis… ,pi1， 
则 有 


s.1 收缩 生成 器 


Mie 
i ar 
用 “EE; yaj” 表 示 E; 取 自 oj, 则 有 
pl(EoVao)= po 
plEo Ya)= pi 


i Orlasesn 二 (5. 38) 


PES = i 
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plE! ya) 一 ps 
P(E1Yazs) = popit pipo 


plErVYai) = popiitpipist+pipo 1<i<2n—1 


力 (E VY asi1) = pi 
plEs Vyas)= pi 
plEs Yas) = popopi + popipo + pipopo 


plENa)= 2 ppa'wpi, (5. 39) 


十 二 十 … 十 让 1 一 和 一 大 
由 式 (5. 39) 及 > 1 一 C74 可 知 ， 


记 十 讶 十 … 十 说 1 一 一 人 


2 a CS 于 ( ) 
Ft Ed 六 S40 


iotit"ti 1 = 
由 于 控制 序列 的 周期 一 般 较 大 (为 2 一 1) ,下 面 近似 地 把 s 视 作 一 个 平衡 的 随 
机 序列 。 
wl 
设 S, 二 2 si, 由 概率 论 中 的 中 心 极 限定 理 可 知 ， 


S.C 一 


诺 
4 
其 中 N(0,1) 表 示 正 态 分 布 。 
设 表示 s 中 第 2 十 1 个 非 零 项 ( 即 为 1) , 则 有 
下 。 一 Cai， 1 一 0,1,2,… 


S| 


OD NO,1) 


因为 5 一 1 二 ,所 以 Es 二 4。 由 此 可 知 ,对 任意 概率 p, 令 a 一 1 一 p, 必 存在 


i=0 


,使 得 车 a 在 巨 中 出 现 , 则 必 以 概率 ， 落 入 区 间 | 本 本 


中 ,将 此 区 间 记 为 1 ,这 里 称 a, 落 入 1s 之 中 意 指 与 a, 相对 应 的 EE 中 元 素 的 角 标 落 
入 二 之 中 (下 同 )。 显然 ,Is 中 的 离散 整数 是 有 限 的 。 


5.6.3 拟 合 序列 的 构造 及 符合 率 的 估计 


本 小 节 根 据 上 小 节 的 初步 理论 统计 分 析 结 果 用 择 多 法 构造 输入 序列 a 的 拟 合 
序列 。 

设 斑 中 共 落 入 24 个 a 中 的 元 素 ,车 等 于 1 的 元 素 个 数 不 小 于 d, 令 a 二 1, 否则 
令 a 二 0。 这 样 就 得 到 了 a 的 拟 合 序列 a 一 (as ,ai ,…)。 

下 面 定理 5. 6. 1 给 出 了 符合 率 的 估计 。 
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定理 5.6.1 对 收缩 序列 生成 器 , 设 由 择 多 法 构造 的 输入 序列 a 的 拟 合 序列 是 
a', 则 有 


1 
起 Ca 二 克 六 全 二 prmax{ ph”" ,p vB + 于 (1 一 去 2] 


这 里 p, 一 p({a, 落 入 了 之 中 )),p5”” 和 pI”” 分别 表示 落 入 妃 中 的 < 的 元 素 中 0、1 
出 现 的 概率 。 
证 明 : pla’=a,)=p(a’=a, |a, 落 入 E 中 ) 户 (an 落 入 EE 中 ) 十 pl(a’= 二 a, |a， 未 落 


入 互 中 )p(av 未 落 入 已 中 ) 一 去 po: 一 alav 落 入 已 中 ) 十 圭一 二 十 去 pa 一 al 
落 和 人 Ts)pla, 落 入 了 av 落 入 E)+ 坟 pamala, 落 入 巨 但 未 落 入 Ts)pla, 未 落 
入 好 las 落 入 已 ) 一 于 十 去 maxtpgo ,pg ) .ps 十 二 (1 一 ps)。 


由 证 明 过 程 可 知 ， pi 一 ww) 一 二 十 去 (pmaxfpg yp” } 一 去 乌 ) 会 十 十 二 on。 
在 实际 分 析 中 ,人 们 更 关心 的 是 wo 的 估计 。 显 然 ,p, 的 期 望 值 为 


Eo» = pnEmax{ps™” ,pi™* ) 一 六 Pp 
由 于 p(max{ pei”,p "* }= 坟 = 2C28* 去 ， | 
ee 
因此 , Emax{p8" pf”*} 3 CF. 直 + 各 0% 冶 
he 和 + 妆 4 站 一 计 + 计 -= 丰 z 
这 里 假定 了 中 的 各 比特 独立 同 分 布 .下 同 。 上 式 最 后 一 步 使 用 了 Stirling 
关 式 : 
nl V2ne"n™ 
下 面 几 处 都 使 用 了 该 公式 。 
最 后 得 到 了 o, 的 期 望 值 的 估计 : 
i 1 1 1 A 
, Wr 。 
0 pp 


车 取 p, 二 95%, 则 对 应 的 4 二 1. 96、/ 好 ,此 时 Ep, 一. 字 。 进 而 还 可 以 求 出 p 


六 < 
的 方差 


Do, =Eo: — (Ep.) 
(2d + Dp: | 2d—1. pn pr ps 
8d 8d Vad—1) 4Vrxd 4rd 
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5 注 记 


概率 论 方法 与 技术 最 初 是 从 赌博 游戏 中 提出 的 ,但 它 的 应 用 几乎 涉及 人 们 生活 
和 科学 技术 的 各 个 方面 。 信 息 安全 研究 中 自然 也 少不了 概率 论 方法 与 技术 。 例 如 ， 
在 流 密 码 的 研究 中 ,人 们 注意 到 作为 密 钥 流 的 序列 应 该 满足 一 些 性 质 , 其 中 序列 的 伪 
随机 性 是 最 早 被 Golombc9 提出 并 一 直 是 最 重要 的 度量 指标 之 一 。Shannon 在 保密 
系统 的 研究 中 引入 完善 保密 性 的 概念 ,其 实质 是 破译 者 从 密 文 中 得 不 到 关于 明文 的 
任何 信息 , 换 句 话说 ,就 是 截获 的 密 文 对 破译 者 猜测 到 原始 明文 的 成 功 概 率 没有 任何 
增加 。 在 现代 密码 学 的 研究 中 .Goldwasser 等 人 又 先后 提出 了 概率 加 密 的 概念 中 和 
概率 可 检 证 明 系 统 的 概念 中 。 概 率 论 方法 与 技术 在 密码 分 析 中 的 应 用 可 参见 
文献 L[9] 。 
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第 6 章 计算 复杂 性 方法 与 技术 


无 论 在 理论 研究 还 是 在 实际 应 用 中 ,人 们 经 常会 遇 到 各 种 各 样 的 计算 问题 ,如 何 
度量 这 些 问 题 的 难 易 程度 ,在 计算 机 科学 中 具有 十 分 重要 的 意义 。 计 算 复杂 性 理论 
就 是 针对 求解 问题 所 需要 的 计算 时 间 和 空间 等 资源 进行 研究 ,给 出 求解 一 个 问题 是 
“容易 的 ”还 是 “困难 的 ”确切 定义 ,并 依据 求解 计算 问题 所 需要 的 时 间 和 空间 对 问题 
进行 分 类 。 

计算 复杂 性 理论 是 设计 和 分 析 密 码 算法 与 安全 协议 的 基础 ,很 多 密码 算法 与 安 
全 协议 的 安全 性 是 以 某 些 计 算 问 题 的 困难 性 为 前 提 条 件 的 。 例 如 ,在 密码 算法 的 设 
计 与 分 析 研 究 中 ,使 用 多 项 式 归 约 技术 的 可 证 明 安 全 性 理论 得 到 广泛 应 用 , 即 通过 有 
效 的 归 约 转化 ,将 对 密码 算法 的 任何 有 效 的 攻击 归 约 到 求解 一 类 已 知 的 NP 难 问 题 
的 一 个 实例 。 通 常 ,该 类 NP 难 问题 是 广泛 接受 的 困难 问题 ,对 于 密码 算法 的 安全 
性 ,这 样 的 证 明 方式 提供 了 很 高 的 可 信和 度 。 

本 章 主 要 介绍 了 信息 安全 研究 中 常用 的 计算 复杂 性 理论 的 基本 概念 、 基 本 原理 、 
典型 的 归 约 方法 和 模型 ,并 介绍 了 计算 复杂 性 方法 与 技术 在 密码 算法 和 安全 协议 设 
计 与 分 析 中 的 应 用 。 


6.1 基本 概念 


说 一 个 问题 是 可 解 的 ,是 指 能 够 编制 一 个 计算 机 程序 ,只 要 运行 足够 长 的 时 间 ,使 
用 足够 多 的 空间 ,该 程序 对 任何 输入 都 能 给 出 正确 的 回答 。 可 以 求解 某 一 问题 并 一 步 
一 步 地 执行 的 计算 过 程 称 为 算法 。 在 20 世纪 30 年 代 , 许 多 数学 家 都 曾 致力 于 问题 的 
可 解 性 研究 ,如 歌德 尔 、 图 录 和 丘 奇 等 ,这 些 研究 工作 表明 ,有 许多 问题 都 是 不 可 解 的 。 

一 个 问题 在 理论 上 是 可 解 的 ,并 不 意味 着 该 问题 在 实际 中 也 是 可 解 的 。 对 于 许 
多 问题 来 说 ,发 现 求 解 该 问题 的 一 个 算法 是 容易 的 ,但 是 利用 该 算法 得 到 该 问题 的 解 
在 实际 中 是 不 可 行 的 。 著 名 的 旅行 商 问 题 就 是 一 个 例子 。 旅 行商 问题 简单 描述 如 
下 : 一 个 推销 商 从 当前 所 在 的 城市 出 发 ,到 其 他 一 1 个 城市 去 推销 产品 ,然后 返回 
其 所 在 的 城市 。 假 定 任意 两 个 城市 之 间 都 有 一 条 线路 ,如 何 选择 一 条 周游 路 线 ,使 得 
旅行 商 经 过 每 个 城市 一 次 且 仅 一 次 ,并 且 使 得 他 所 走 过 的 路 径 最 短 ? 求解 该 问题 的 
一 个 简单 算法 就 是 穷 举 所 有 的 周游 路 线 .从 中 挑 出 最 短 的 一 条 。 一 共有 (nn 一 1)!/2 
条 不 同 的 周游 路 线 , 求 一 条 周游 路 线 的 长 度 需要 n 一 1 次 加 法 运算 ,所 以 这 个 算法 共 
需要 (nn 一 1)，(n 一 1)!1/2 次 加 法 运算 。 当 2 一 50 时 ,该 算法 需要 49X491/2 之 
1. 5X10% 次 加 法 运算 .假如 一 台 计 算 机 每 秒 钟 执行 10* 次 加 法 运算 ,那么 该 算法 大 
约 需 要 执行 108 年 ,这 是 一 个 不 可 接受 的 计算 时 间 。 所 以 , 当 ) 较 大 时 :该 算法 在 实 
际 中 是 不 可 能 求解 旅行 商 问题 的 。 
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这 个 例子 说 明 , 可 计算 问题 在 理论 与 实际 中 是 存在 差别 的 。 所 有 的 计算 机 都 需 
要 占用 一 定 的 资源 ,可 以 用 执行 该 算法 所 需要 的 运行 时 间 和 内 存 空 间 来 度量 。 一 个 
算法 所 需要 占用 的 资源 的 数量 ,就 是 评估 其 实际 可 行 性 的 自然 途径 。 简 单 地 说 ,如 果 
一 个 问题 可 以 在 “合理 的 ?时 间 内 ,使 用 一 个 "不 太 大 ”的 计算 机 求解 ,那么 该 问题 自然 
就 是 可 解 的 。 求 解 问 题 的 算法 对 时 间 资 源 的 需求 具有 实际 的 重要 意义 ,算法 所 花费 
的 时 间 越 少 , 则 该 算法 越 好 也 越 * 有 效 ”。 同 样 ,算法 对 空间 的 需求 也 具有 重要 的 实际 
意义 。 算 法 执行 所 花费 的 时 间 和 空间 的 分 析 已 经 成 为 计算 机 科学 中 的 一 个 重要 研究 
内 容 。 

计算 复杂 性 理论 ,就 是 从 求解 问题 的 实际 困难 出 发 ,在 理论 上 对 计算 机 可 解 的 问 
题 进行 分 类 。 为 了 说 明 一 个 问题 是 “容易 的 ”, 只 需要 给 出 一 个 实际 的 求解 算法 即 可 。 
但 是 ,要 说 明 一 个 问题 本 质 上 是 “困难 的 ”, 需 要 证 明 实际 的 求解 算法 是 不 存在 的 。 事 
实 上 这 是 非常 困难 的 。 

给 定 一 个 问题 P, 其 复杂 性 是 由 求解 P 的 算法 的 时 间 复 杂 性 来 确定 的 。 如 果 存 
在 一 个 有 效 的 算法 来 求解 P, 则 说 问题 P 是 容易 的 ;如 果 不 存在 这 样 的 有 效 算法 , 则 
称 书 是 困难 的 。 因 此 ,为 了 和 弄 清楚 问题 的 复杂 人 性 ,首先 需要 给 出 算法 有 效 性 的 确切 
定义 。 
6.1.1 图 灵机 


一 个 算法 的 运行 时 间 受 到 多 种 因素 的 影响 ,如 选用 的 计算 语言 .编写 程序 的 方法 
及 计算 所 用 的 计算 机 等 。 为 了 克服 这 一 困难 ,精确 地 定义 有 效 算法 的 概念 ,在 计算 复 
杂 性 理论 研究 中 ,采用 了 统一 的 计算 模型 。 这 一 模型 是 英国 数学 家 图 灵 (A. Turing) 
于 1936 年 提出 的 .后 人 称 之 为 图 灵机 。 图 灵机 计算 模型 后 来 被 证 明 是 一 种 非常 通用 
的 计算 模型 。 下 面 介 绍 图 灵机 的 一 个 变型 ,用 于 理解 计算 复杂 性 。 

图 灵机 由 有 效 状 态 单元 & 条 纸 带 以 及 同样 数量 的 读 写 头 组 成 。 有 限 控制 单元 
控制 磁头 读 、 写 纸 带 的 操作 ,每 个 读 写 头 访问 一 条 纸 带 , 沿 着 纸 带 向 左 或 者 向 右 移动 
完成 这 一 操作 。 每 一 条 纸 带 分 成 无 限 个 单元 。 图 灵机 求解 一 个 问题 时 , 读 写 头 扫 描 
一 个 有 限 字符 串 ,从 纸 带 最 左边 的 单元 开始 按照 顺序 存放 在 纸 带 上 ,每 个 字符 占用 一 
个 单元 ,其 右边 剩 下 的 是 空白 单元 ,该 字符 串 称 为 问题 的 一 个 输入 。 扫 描 过 程 从 含有 
输入 的 纸 带 左 端 开 始 , 同 时 图 灵机 赋予 一 个 初 态 。 任 何 时 刻 图 灵机 都 只 有 一 个 读 写 
头 访 问 其 纸 带 。 读 写 头 对 纸 带 的 一 次 访问 称 为 一 个 移动 。 如 果 图 灵机 从 初始 状态 开 
始 ,一 步 一 步 地 合法 移动 ,完成 对 输入 串 的 扫描 :最 终 满足 中 止 条 件 而 停 下 来 , 则 称 图 
灵机 识别 了 该 输入 ;否则 ,图 灵机 在 某 一 点 没有 合法 移动 . 它 会 没有 识别 输入 就 停 下 
来 。 图 灵机 识别 的 输入 称 为 可 识别 语言 的 一 个 实例 。 

为 了 识别 一 个 输入 ,图 灵机 M 在 停 下 来 之 前 所 移动 的 步 数 称 为 M 的 运行 时 间 
或 者 M 的 时 间 复 杂 度 , 记 为 Tw。 很 明显 .Tw 可 以 表示 为 函数 Tu(n):N>N. 其 中 
是 输入 实例 的 长 度 或 者 规模 ,也 就 是 说 , 当 M 在 初始 状态 时 . 它 就 是 组 成 输入 串 的 字 
符 数 。 显 然 Tw(n) 三 nr。 除了 对 时 间 的 要 求 外 .M 还 有 空间 的 要 求 , 即 M 在 操作 中 
读 写 头 访问 的 纸 带 单元 数 , 它 可 以 表示 为 函数 Sv(z) :NN., 称 为 M 的 空间 复杂 度 。 
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6.1.2 算法 的 表示 


图 录 机 提供 了 一 种 通用 的 计算 模型 ,给 出 了 度量 程序 计算 复杂 性 的 一 个 准确 概 
念 。 但 在 实际 中 ,一 般 并 不 希望 按照 这 种 原型 机 器 来 描述 算法 ,甚至 不 希望 按照 现代 
计算 机 的 微 指令 来 描述 。 为 了 清楚 、 有 效 地 描述 算法 和 数学 命题 ,使 用 一 种 高 级 编程 
语言 , 称 为 “ 准 编程 语言 ”, 它 和 一 些 通用 的 高 级 编程 语言 很 接近 ,诸如 Pascal 或 者 C。 
由 于 它 具 有 不 言 自明 的 清晰 特征 ,理解 起 来 不 会 有 任何 困难 。 

实际 上 在 第 1、2 章 中 已 经 使 用 过 这 种 表示 方法 ,这 里 再 通过 一 个 具体 例子 来 说 
明 一 下 。 考 察 1. 3. 1 小 节 介 绍 的 欧 氏 算法 ,这 是 计算 两 个 整数 的 最 大 公 因 子 的 著名 
算法 。 以 gcd(a,5b) 表 示 整 数 a 和 2 的 最 大 公 因 子 , 即 整除 a 和 2 的 最 大 整数 。 

可 将 1.3.1 小节 介绍 的 欧 氏 算法 表示 成 算法 6. 1. 1 和 算法 6.1.2, 分 别称 之 为 
欧 氏 算法 和 扩展 欧 氏 算法 。 


算法 6.1.1 欧 氏 算法 。 
输入 整数 a 二 b 三 0; 

输出 gcd(a,b)。 

1. If b=0 return(a); 

2. Return(gcd(b ,a mod 0)) 。 


算法 6.1.2 扩展 欧 氏 算法 。 
输入 整数 a 和 Db, 满 足 a 二 b 宇 0; 
输出 整数 s 和 t+, 满足 as 十 bt 二 gcd(a,b)。 
1, i<0sr-i<asro<b;s 
SsS—1<—13t-1<03s0<—03to<—1 
2. while 六 一 asi 十 0 天 0.do 
(a) g< ri 一 1 一 7 
(b) siri1®—si1— gsistititi1— gt 
Ce Fes 1 
3. return ((si-i»ti-1))。 
显然 ,算法 6.1.1 和 算法 6. 1. 2 的 递归 调用 次 数 等 于 算法 6. 1. 2 的 循环 次 数 ， 
即 &。 
考虑 a 之 6 的 情形 ,其 中 |z| 表 示 z 的 二 进 制 的 长 度 。 对 于 i 二 1,2,…,k 一 1, 有 
Irin| 达 lrii1, 所 以 的 最 大 值 以 21a| 为 界 。 如 果 将 模 运 算 视 为 基本 运算 ,那么 使 
用 算法 6.1.1 实现 gcd 的 时 间 复 杂 度 的 界 为 2la|, 即 关于 a 的 规模 的 线性 函数 。 因 
此 ,有 以 下 结论 : 
计算 a 和 2 的 最 大 公 因 子 gcd(a.5) 至 多 需要 执行 2max(|a| ,15|) 次 模 运 算 。 即 
算法 6. 1. 1 和 算法 6.1.2 将 在 2max(lal,15|) 次 循环 内 终止 。 


6.1.3 计算 复杂 度 的 表示 方法 
当 衡量 一 个 算法 的 计算 复杂 度 时 ,通常 很 难 ( 也 没有 必要 ) 确 切 地 给 出 复杂 性 度 


148 
第 6 章 计算 复杂 性 方法 与 技术 


量 表示 式 中 的 常数 。 实 际 上 ,由 于 算法 的 计算 复杂 度 是 其 输入 的 规模 的 函数 ,要 比 
较 两 个 算法 的 计算 复杂 度 , 只 需要 考虑 当 充分 大 时 它们 随 着 的 增 大 而 增 大 的 量 
级 即 可 。 为 了 简化 计算 复杂 度 的 度量 任务 .需要 引入 “ 阶 ” 的 概念 。 

定义 6.1.1 设 函 数 f(n) 和 g(n) 为 两 个 正 整数 函数 ,如 果 存 在 常数 c 二 0 和 正 
整数 N ,使 得 当 n 二 N 时 有 g (二 c|f00)1, 则 称 g(1) 二 OC(f (mn))。 如 果 g(n) 二 
OCFCaz) ) ,并 且 Fo) 一 OCsCz)), 则 称 f (x) 二 BC(g(n))。 

不 难 证 明 ,O 和 @9 具有 以 下 性 质 。 

(1) 如 果 Faz) 王 OCg(Cz)),gC2) 一 OGAC2))， 则 Fa 一 OCACz) ) 。 

如 果 Fo) 一 9Cg(a)),sCOo) 一 CCz)), 则 Fo 一 BCACz) )。 

(2) 如 果 f(n) 是 一 个 4 次 多 项 式 , 那 么 f(n)= 一 8@(n?),f(n) 二 O(n” )(d’ 宇 d)。 

(3) 对 于 任意 多 项 式 p(n) 以 及 任意 整数 二 1, 有 p(n) 二 OGm")。 

使 用 记号 O(。) 可 以 将 算法 6. 1. 1 和 算法 6. 1. 2 的 计算 复杂 度 表示 为 O(loga)。 
注意 在 这 个 表达 式 中 ,使 用 loga 代替 了 |al|., 而 没有 明确 说 明 对 数 的 底数 。 容 易 验 
证 ,对 于 任意 的 底数 , 它 都 给 出 了 正确 的 复杂 人 性 度量 表示 。 

到 目前 为 止 , 一 直 把 一 次 模 运算 的 计算 时 间 代 价 看 作 一 个 单位 时 间 , 即 其 时 间 复 
杂 度 是 0(1)。 实 际 上 , 模 运 算 包 含 了 除法 ,其 时 间 复 杂 度 和 除法 的 时 间 复 杂 度 基本 
上 是 一 样 的 。 从 这 个 角度 来 看 ,用 O(1) 表 示 除 法 的 时 间 复 杂 度 有 些 太 粗略 了 。 

下 面 通过 按 比特 计算 来 度量 算术 运算 。 在 按 比特 计算 中 ,所 有 变量 的 取 值 要 么 
是 0, 要么 是 1, 而 运算 是 逻辑 运算 , 即 与 、 或 . 异 或 和 非 。 

在 按 比特 运算 模式 下 ,两 个 整数 i 和 j 之 间 的 加 法 和 减法 需要 max{logi,1ogj) 
次 运算 ,即时 间 复 杂 度 是 O(max{logi.,1logj)) .而 两 个 整数 i 和 j 之 间 的 乘法 和 除法 
需要 时 间 为 O(logi* logj)。 当 然 ; 乘 法 和 除法 也 存在 更 小 的 时 间 复 杂 度 ,如 通过 离 
散 健 里 叶 变 换 可 以 得 到 O(log(i 十 j)， loglog(i 十 站) ,但 O 项 的 常 系 数 比 较 大 。 

现在 精确 度量 算法 6. 1. 1 和 算法 6.1.2 的 时 间 复 杂 度 。 根 据 1. 3. 1 小 节 中 的 讨论 可 
知 , 对 于 二 0,gcd(e ,0 可 以 在 时 间 Odoga) 内 计算 出 来 。 考 虑 到 , 模 运 算 和 除法 的 时 间 代 
价 是 OC((loga)?) ,直观 上 算法 6. 1. 1 和 算法 6.1.2 的 时 间 复 杂 度 是 OCCloga)? ) 。 

事实 上 , 欧 氏 算法 有 更 好 的 估计 。 注 意 到 .计算 除法 a 二 bg 十 r 的 时 间 复 杂 代 价 
为 OC((loga) (logg))。 对 于 欧 氏 算法 的 中 间 商 qi ,gs，… ,qr， 有 


k 天 
2) logg; = log( [| 4)< loga 
一】 


i=1 


因此 ,计算 最 大 公 因 子 总 的 时 间 代 价 不 超过 
(2 Odoga) (ogg)) < Ologa)’) 


对 于 一 个 图 灵机 M 来 说 ,如 果 存 在 正 整数 d, 使 得 Tw(n) 一 Bn ), 则 称 M 为 多 
项 式 时 间 算 法 。 如 果 Ty (nn) 二 8(2"*™), 则 称 M 为 亚 指 数 时 间 算 法 。 如 果 Tu(Cz) 一 
9(2”"), 则 称 M 为 指数 时 间 算 法 。 
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6.2 基本 原理 


一 个 问题 的 计算 复杂 度 是 由 解决 这 个 问题 的 算法 的 计算 复杂 度 来 决定 的 。 由 于 
解决 一 个 问题 的 算法 可 能 有 多 个 ,其 计算 复杂 度 也 各 不 相同 ,所 以 ,在 理论 上 定义 一 
个 问题 的 计算 复杂 度 为 求解 该 问题 的 最 有 效 算 法 的 计算 复杂 度 。 实 际 上 ,要 证 明 一 
个 算法 是 求解 某 一 问题 的 最 有 效 的 算法 是 很 困难 的 ,所 以 只 能 把 求解 问题 的 计算 复 
杂 度 粗略 地 分 为 3 类 , 即 类 (确定 性 多 项 式 时 间 )、NP 类 ( 非 确定 性 多 项 式 时 间 ) 和 
ANRC 类 (NP 完全 类 ) 。 


6.2.1 多 项 式 时 间 可 识别 语言 


设 函 数 p(n) 是 整数 上 关于 nn 的 一 个 多 项 式 , 具 有 形式 训 (z) 一 ct 十 ci: 十 
十 cin 十 co ,其 中 ,k 和 c(i 二 0,1,…,k) 是 整数 。 

定义 6.2.1 用 也 表示 具有 以 下 特征 的 语言 类 : 对 于 语言 L ,如果 存在 一 个 图 灵 
机 M 和 一 个 多 项 式 p(n) 使 得 对 任意 的 非 负 整 数 n,M 可 以 在 时 间 Ty (0) 三 p02) 内 
识别 任意 实例 TEL, 则 称 语言 L 在 中 ,其 中 整数 参数 表示 实例 I 的 规模 ,并 称 
LL 是 可 以 在 多 项 式 时 间 内 识别 的 语言 。 

粗略 地 讲 , 可 以 在 多 项 式 时 间 内 识别 的 语言 总 是 很 “容易 的 ”, 换 句 话 说 ,多 项 式 
时 间 图 灵机 被 认为 总 是 很 “有 效 的 ”。 识 别 刀 中 语言 的 图 灵机 都 是 确定 性 的 ,其 输出 
结果 完全 取决 于 输入 和 初始 状态 。 也 就 是 说 ,对 同样 的 输入 和 初始 状态 ,两 次 运行 一 
个 确定 性 图 灵机 ,得 到 的 输出 结果 是 相同 的 。 

例 6.2.1(DIV3 语言 ) 设 Div3 表示 被 3 整除 的 非 负 整数 集 , 证 明 Div3€ Pp。 

构造 一 个 多 项 式 时 间 内 识别 Div3 的 单 向 图 灵机 来 证 明 。 首 先 注意 到 ,如 果 将 输 
入 写成 一 个 三 进 制 表 示 的 整数 ,也 就 是 说 ,输入 是 {0,1,2} 中 的 字符 串 .那么 识别 该 问 
题 就 变 得 非常 简单 : 输入 工 属于 Div3 当 且 仅 当 z 的 最 后 一 位 是 0。 因 此 ,构造 的 图 
灵机 只 需要 向 右 端 移动 直到 一 个 空白 字符 ,然后 停 下 来 , 当 且 仅 当 最 后 一 个 非 空 的 字 
符 是 0. 回答 “是 ”。 显 然 . 这 个 图 灵机 可 以 在 移动 实例 规模 步 数 内 识别 该 实例 。 因 
此 ,Div3€E PP, 

不 过 ,希望 证 明 Div3€E PP 与 输入 的 表示 方式 无 关 。 这 里 只 需 证 明 输 入 表示 为 二 
进 制 的 情形 。 设 这 样 的 一 个 图 灵机 称 为 Div3。Div3 的 有 限 状 态 控 制 按 照 表 6. 1 所 
示 一 步 步 移 动 。 


表 6.1 Div3 图 灵机 示意 图 


当前 状态 纸 带 上 的 符号 下 一 步 移动 下 一 个 状态 
0 右 go 
go ( 初 态 ) 1 右 go 
空白 “ 响 铃 ”或 终止 qi 
0 右 92 
qi 1 右 i 
0 右 gi 
1 右 g2 
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下 面 说 明 表 6. 1 所 定义 的 图 灵机 Div3 可 以 识别 Div3 中 的 所 有 实例 。 

注意 到 ,要 识别 一 个 二 进 制 串 zxE Div3 是 否 成 立 , Div3 只 需要 3 个 状态 ,分 别 对 
应 于 其 ( 读 写 头 ) 完 成 扫描 串 3k、3k& 十 1 和 3k 十 2(k 宇 0) 的 情形 。 最 小 输入 实例 0 约 
定 Div3 在 完成 扫描 输入 串 0 时 必定 处 于 初 态 ( 不 失 一 般 性 , 设 初 态 为 wo) 。 在 完成 扫 
描 输 入 串 1 时 ,可 以 指定 Div3 为 状态 qi ,完成 扫描 输入 串 2 时 ,Div3 为 状态 ws 。 对 
任何 二 进 制 表示 的 非 负 整数 4, 后面 跟 一 个 0( 或 1) 得 到 值 2a (或 24 十 1)。 因 此 , 完 
成 对 a 二 3k( 当 Div3 初 态 为 wo 时) 的 扫描 后 ,由 于 在 该 点 完成 扫描 24a 二 6k 二 3k' ,当下 
一 步 扫描 到 字符 0 时 ,Div3 必定 仍 在 状态 go ;下 一 步 扫 描 到 字符 1 时 必定 移动 到 qi ， 
因为 在 该 点 完成 扫描 24 十 1 二 6k 十 1 二 3k 十 1。 类 似 地 ,完成 对 4a 二 3k 十 1( 当 Div3 在 
状态 qi 时 ) 的 扫描 后 , 当 完 成 扫描 24 二 6k 十 2 二 3k' 十 2 时 ,Div3 必定 移动 到 g,; 当 完 
成 扫描 24 十 1 二 6k 十 3 三 3k' 时 ,必定 移动 到 ge 。 对 于 一 3& 十 2 一 3& 十 2 还 有 两 种 情 
况 : 24 二 6k 十 4 二 3k’ 十 1(Div3 从 gs 移动 到 gq) 和 2a 十 1 二 6k 十 5 二 3k 十 2(Div3 停留 
在 qs)。 

因此 ,对 于 任意 的 & 三 0,3 个 状态 分 别 对 应 于 Div3 完成 扫描 3k、3k 十 1 和 3k 十 2。 
一 旦 读 写 头 遇 到 特殊 的 字符 串 “ 空 ”, 只 有 在 状态 go 的 Div3 才 设 置 响 铃 并 停止 移动 
(表示 终止 并 回答 “是 ”) ,从 而 识别 出 输入 3k; 对 于 其 他 两 种 状态 ,Div3 没有 合法 移 
动 , 因 此 没有 识别 就 终止 了 。 

显然 ,Tows(n) 一 2。 因 此 ,Div3 确实 可 以 在 多 项 式 时 间 内 识别 Div3 语言 。 


6.2.2 多 项 式 时 间 计 算 问 题 


根据 定义 ,PP 是 多 项 式 时 间 可 识别 语言 类 。 语 言 识别 问题 是 一 个 判定 性 问题 。 
对 任意 的 输入 ,一 个 判定 性 问题 的 输出 为 “是 ”或 “ 否 ”。 但 是 也 类 是 非常 普遍 的 ,包括 
多 项 式 时 间 的 计算 性 问题 。 对 任意 可 能 的 输入 ,计算 性 问题 要 求 输出 比 “ 是 ”或 “ 否 ” 
更 一 般 的 答案 。 既 然 图 灵机 可 以 向 纸 带 写 入 字符 ,当然 能 够 输出 比 “ 是 ”或 “ 否 ” 更 一 
般 的 答案 。 

举例 来 说 ,可 以 设计 一 种 图 灵机 , 它 不 仅 能 够 识别 任意 实例 zE Div3 ,而 且 在 识 
别 后 还 能 输出 z/3。 把 这 个 新 的 图 灵机 称 为 Div3-Comp。 实 现 Div3-Comp 的 一 个 非 
常 简 单 的 方法 是 将 输出 写成 三 进 制 表示 : 输入 是 Div3 中 的 一 个 实例 , 当 且 仅 当 其 最 
后 一 位 是 0, 在 识别 该 输入 之 后 ,图 灵机 的 输出 就 是 输入 纸 带 上 的 内 容 去 掉 最 后 一 个 
0, 除 非 纸 带 上 全 部 是 0。 如 果 要 求 Div3-Comp 只 输入 和 输出 二 进 制 数 ,那么 Div3- 
Comp 可 按照 下 列 方式 实现 : 首先 将 输入 xz 从 二 进 制 转换 为 三 进 制 ,一 旦 获得 了 三 
进 制 表示 的 z/3, 青 转换 为 二 进 制 表 示 作 为 输出 。 显 然 , 转 换 可 以 机 械 地 逐 位 进行 ， 
需要 Clz| 次 移动 ,其 中 C 是 一 个 常数 。 

从 这 个 例子 可 以 看 出 : 刀 类 必定 包括 Div3-Comp 可 以 解决 的 问题 。 实 际 上 ， 
PP 包括 所 有 的 多 项 式 时 间 计 算 问 题 。 


6.2.3 概率 多 项 式 时 间 可 识别 语言 
如 果 一 个 语言 不 属于 P, 那 么 不 存在 总 能 有 效 地 识别 它 的 图 灵机 。 但 是 ,有 一 类 
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语言 具有 以 下 特性 : 没有 证 明 它 们 属于 P. 但 它们 总 能 用 一 种 图 灵机 有 效 地 识别 , 尽 
管 有 时 也 会 出 错误 。 这 种 机 器 有 时 出 错 的 原因 ,是 在 有 些 操作 步骤 中 机 器 会 做 随机 
移动 。 有 些 移动 会 产生 正确 的 结果 ,而 其 他 移动 则 会 产生 错误 的 结果 。 这 种 图 灵机 
称 为 非 确定 性 图 灵机 。 

这 里 ,人 们 关心 判定 性 问题 的 一 个 子 类 , 它 具 有 下 面 的 有 界 差错 特征 :“ 回 答 判 
定性 问题 时 , 非 确定 性 图 灵机 出 错 概率 的 界 是 一 个 常数 (其 概率 空间 取 自 于 随机 
纸 带 )”。 

习惯 上 , 称 具 有 有 界 差错 概率 的 非 确 定性 图 灵机 为 概率 图 灵机 。 而 * 非 确定 性 图 
灵机 ” 则 专 指 另 一 类 不 同 的 判定 性 问题 ( 见 6. 2. 5 小 节 )。 概 率 图 灵机 实质 上 是 指 有 
随机 输入 并 在 其 输入 的 长 度 的 多 项 式 时 间 一 定 停机 的 图 灵机 。 

概率 图 灵机 有 多 条 纸 带 , 其 中 有 一 条 称 为 随机 纸 带 ,上面 是 一 些 均 匀 分 布 的 随机 
字符 。 在 扫描 一 个 输入 实例 工时 ,机 器 将 和 随机 纸 带 交互 , 读 取 一 个 随机 字符 ,然后 
像 确定 性 图 灵机 一 样 工 作 。 该 随机 串 称 为 概率 图 灵机 的 随机 输入 。 概 率 图 灵机 对 输 
入 工 的 识别 不 再 是 工 的 确定 性 函数 ,而 是 与 一 个 随机 变量 ( 即 随机 输入 ) 有 关 的 函数 。 
该 随机 变量 对 识别 工 造成 了 一 定 的 差错 概率 。 

人 们 把 概率 图 录 机 可 识别 的 语言 类 称 为 概率 多 项 式 时 间 (PPT) 语 言 ,用 PP 
表示 。 

定义 6.2.2 用 PP 表示 具有 下 列 特征 的 语言 类 : 称 一 个 语言 工 属于 PP, 如 果 存 
在 一 个 概率 图 灵机 Pw 和 一 个 多 项 式 p(n), 对 任意 的 非 负 整数 n.,Pm 可 以 在 时 间 
Tpm (1) 三 p(n) 内 以 一 定 的 差错 概率 识别 任意 实例 IEL, 其 中 差错 概率 是 关于 Pm 随 
机 移动 的 一 个 随机 变量 ,整数 参数 n 表示 实例 了 的 规模 。 

在 定义 6. 2. 2 中 ,“ 一 定 的 差错 概率 ”可 以 表示 为 以 下 两 个 条 件 概 率 界 : 

PrLPw 识别 TELITITEL] 三 es 
Pr[Pu 识 别 I€ELIlIIgL]<6 
其 中 ,e 和 6 是 参数 ,满足 
é€ (0.5;1], $d€ [0,0.5) 
这 里 概率 空间 是 Pw 的 随机 纸 带 。 
e 是 正确 识别 一 个 实例 的 概率 界 , 称 为 完备 性 概率 界 。 其 等 价 形式 可 表示 为 
Pr[Px 识 别 IEL|IIEL]<=<1—e 
在 该 式 中 ,1 一 e 表示 错误 地 拒绝 的 概率 界 。 

6 是 错误 识别 一 个 非 实 例 的 概率 界 , 称 为 可 靠 性 概率 界 。 

对 于 概率 多 项 式 时 间 图 灵机 Pu ,对 输入 了 重复 运行 n 次 Pm, 表示 为 Pv (1,n)， 
它 仍 然 表 示 一 个 概率 多 项 式 图 灵机 。 可 以 通过 “大 数 判 别 ”" 作 为 Pv(IT,n) 接 受 或 者 
拒绝 工 的 准则 ,也 就 是 说 ,如 果 [n/2 二 1 或 者 更 多 次 Pw (1) 运行 都 输出 接受 (或 拒 
绝 ) ,那么 Pu(I,n) 就 接受 (或 拒绝 )。 显 然 ,Pm(T,n) 的 可 靠 性 和 完备 性 概率 是 关于 
n 的 函数 。 实 际 上 ,Pm (1,) 仍 然 是 关于 了 械 的 规模 的 多 项 式 时 间 。 

由 于 nn 次 运行 Pw (DD) 的 随机 移动 是 相互 独立 的 ,失败 的 概率 为 1 一 e( 或 者 1 一 0)， 
根据 二 项 分 布 ,大 数 判 别 准则 给 出 Ph(I,n) 的 差错 概率 界 是 n 次 伯 努 利 实 验 成 功 
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了 ln/2 片 1 次 或 更 多 次 的 概率 之 和 。 对 于 完备 性 ,有 
el(n) = Pr[Lé, = 利 1] 一 S$ blisn,e) 


i=ln/2H1 


对 于 可 靠 性 ,有 


6(n) 一 PrEw 宇 ln/2 片 1 = > bj ;7n,0) 
j=bn/2H1 


这 两 个 表达 式 都 是 各 自 二 项 分 布 的 累加 。 因 为 6 二 0. 5 二 e, 第 一 个 分 布 的 中 心 
项 在 (2 十 1)e 二 bx2 片 1 点 (二 项 式 的 项 在 该 点 达到 最 大 值 ); 另 一 个 分 布 的 中 心 项 
在 (n 十 1)6 二 ln/2 1 点。 推导 可 得 


EP es et 


(1—26)7 n+l 


由 于 9 是 常数 , 则 有 
6(n) 一 0(02 一 co) 
类 似 地 ， 


se(m) 之 1 一 三 


nn 
其 中 c 是 常数 。 
令 n= 二 11|, 则 图 录 机 Pm (I,n) 的 运行 时 间 为 |1|，poly(|11|1), 其 中 poly(|71|) 是 
Px 对 实例 了 的 运行 时 间 。 因 此 ,Pm 仍然 是 多 项 式 时 间 的 。 
下 面 用 大 数 定律 或 概率 不 等 式 给 出 在 密码 学 中 针对 PP 语言 类 经 常用 到 的 一 
放大 /缩小 概率 的 界 的 基本 技巧 。 
定理 6.2.1 LEPP 当 且 仅 当 存 在 概率 图 灵机 Px ,使 得 


1) Pr[LPw 识别 IEeLITIE 丰 > 三， 


Pr[Pw 不 能 识别 TE 工 TEL 三。 
当 且 仅 当 存在 多 项 式 pC 和 Pu ,使 得 


口 > 
2) Pr[LPw 识别 TEL1TEL] 之 2 


PrLPw 不 能 识别 TELITEZ] 三 村 5 + 元 六 D。 


当 且 仅 当 存在 多 项 式 p(，) 和 概率 图 灵机 Pw :使 得 
3) Pr[LPw 识别 TE€LIITELJ] 宇 1 一 2-*1，， 
PrLPw 不 能 识别 TELIITEL] 宇 1 一 2-*1 员 。 
只 证 明 1) 和 2) 等 价 ,借助 更 强 的 概率 不 等 式 ( 大 数 定律 ), 如 Chernoff 不 等 式 ， 
We 1) 和 3) 等 价 。 
: 条 件 1) 成 立 , 显 然 条 件 2) 成 立 。 下 证 条 件 2) 成 立 ， 条 件 1) 亦 成 立 。 
es PM 如 下 : 对 输入 I, Pm 调用 机 器 Pw. 输入 了 ,运行 O(p(111)?) 次 ， 
Pu 的 输出 为 超过 半数 的 Pu 的 输出 。 
给 定 的 IT, 当 M (了) 可 识别 I 时 , 令 M(7T) 一 1, 当 M(7T) 不 能 识别 I 时 , 令 
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M( 了 有) 二 0, 因此 可 将 M( 了 ) 视 作 取 值 为 0、1 的 随机 变量 。 令 nn 二 p (171)? ,Mi 一 M(D)， 
二 1,…,n, 就 得 到 个 独立 的 同 分 布 的 随机 变量 。 设 请 是 M(CD 王 1 的 概率 。 由 假 


、 1/ 1 1 7 
对 2 义 有 
办 TE 世 : 户 二 本 加 到》 由 M 的 定义 ， 


PrLM' (CD) = 0] =Pr[ 2M 三 
k=1 


] 
<Pr[ 十 忆 M 帮 去 Pe | 


<Pr[ 


Le / 
> Ms p |> 
72 k=1 


2 pl—p’) 
Bl TI Tl 


1 
FTTD] 


一 p'(1 一 p) 过 证 
其 中 ,倒数 第 二 个 不 等 式 是 根据 定理 5. 5. 3 得 到 的 。 
所 以 
PrLM' (IT) = 1] = 1— PrL[M’'(1) = 0] > 立 > 三 


1 


1/ 1 
0 三 a 
对 TEL, 有 p' 声 忆 pT) 


。 于 是 


Pr[M’(1) = 1] -Pr[ 志 2M > 
k=1 


] 
<Pr[i Mp > ger] 


二 :过 / 1 
M, = 
<Pr [|+> . ”| | 
‘(1—p') 
魏 = 
pl TIBET | 
’ p 1 
一 一 二 一 
pl(l—p) 
从 而 
PiEMCIY =0] = 1=BEMCI = 如 > 六 > 


例 6.2.2 全 体 素数 的 集合 ( 记 为 PRIMES) 属 于 PP 类 。 
我 们 可 根据 算法 1. 3. 2( 记 为 Prime_Test(.)) 检 测 一 个 奇数 p 是 否 是 一 个 
根据 费 马 小 定理 ,如 果 p 是 素数 ,那么 Prime_Test(p) 总 是 返回 “p 是 素数 ”, 即 
PrLx* ?2 寺 士 (mod p) 1p 是 素数 ] 一 1 
另 一 方面 ,如 果 p 是 一 个 合 数 , 那 么 同 余 式 x% ”志士 1(mod p) 一 般 不 会 成 立 。 
事实 上 ,对 于 xE(1.,p 一 1],gcd(x,p) 二 1, 有 


2 
3 
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Pr[zx‘?2 二 十 1(mod p) | pp 是 合 数 ] 三 1/2 

因此 ,如 果 均 匀 随 机 选取 工 通过 了 A& 次 检测 (当然 一 1 的 情形 至 少 出 现 一 次 ), 那 
么 p 不 是 素数 的 概率 不 大 于 2“*“。 这 里 ,使 用 了 “一 致 性 判别 准则 ”: 在 logzp 次 检测 
中 只 要 有 一 次 失败 ,这 个 p 就 被 拒绝 。 注 意 这 一 判别 准则 与 大 数 判 别 准则 不 同 , 后 
者 可 以 容忍 失败 ,只 要 失败 的 次 数 不 超 过 半数 。 一 致 性 判别 的 可 靠 性 概率 趋 近 于 0 
的 速度 比 大 数 判别 的 情形 快 得 多 。 

令 & 一 log*p ,对 任何 输入 实例 p, 有 

Pr[Prime_Test(p) = 二“p 是 素数 ”| p 不 是 素数 ] 委 2 ee 

注意 到 ,对 于 长 度 为 logsp 比特 的 输入 ,计算 模 指数 和 最 大 公 因 子 的 时 间 复 杂 度 
都 是 O((logs p53), 因 此 ,Prime_Test(p) 的 时 间 复 杂 度 的 界 为 O((log,p)*)。 

需要 说 明 的 是 ,2002 年 8 月 ,3 位 印度 计算 机 科学 家 Agrawal、Kayal 和 Saena 发 
现 了 一 种 确定 性 多 项 式 时 间 的 素性 检测 算法 ,因此 ,PRIMES 事实 上 属于 了 P。 


6.2.4 ”有效 算法 


能 够 解决 多 项 式 时 间 可 识别 语言 类 或 者 概率 多 项 式 时 间 可 识别 语言 类 中 的 问题 
的 算法 称 为 有 效 算法 。 

定义 6.2.3 对 于 一 个 算法 ,无 论 是 确定 性 或 者 是 随机 化 的 ,如 果 其 运行 时 间 可 
以 表示 为 输入 规模 的 多 项 式 , 则 称 该 算法 是 有 效 算法 。 

下 面 通过 一 个 例子 来 说 明 有 效 算法 。 

概率 素性 检测 的 思想 可 以 直接 转化 为 一 个 算法 ,该 算法 能 够 生成 给 定 长 度 的 随 
机 概率 素数 。 算 法 6.2. 1 给 出 了 具体 步骤 。 


算法 6.2.1 随机 A 比特 概率 素数 生成 。 

输入 一 个 正 整 数 

输出 一 个 kk 比特 的 随机 素数 

Prime_Gen(k) 

1 PEC 1 2 一 1j, 思 为 奇 装 3 

2. 如 果 Prime_Test(p) 二 “pp 不 是 素数 ”,return(Prime_Gen(k)); 
3. Return( 户 ) 。 


首先 假设 Prime_Gen(k) 会 终止 ,那么 该 算法 最 终 找 到 了 一 个 数 p ,满足 Prime_ 
Test(p) 二 “pp 是 素数 ”"。 根 据 对 Prime_Test 的 差错 概率 界 估计 ,输出 的 p 不 是 素数 
的 概率 上 界 为 2 一, 其 中 有 一 log: 户 。 

显然 ,有 这 样 一 个 问题 : Prime_Gen(k) 最 终 能 够 停 下 来 吗 ? 

著名 的 素数 定理 表明 ,小 于 X 的 素数 大 约 有 XX/logX 个 。 因 此 & 比特 的 素数 的 
个 数 大 约 为 
2 201 = 2 
k kl 2k 
因此 ,可 以 期 望 Prime_Gen(k) 在 第 二 步 递 归 调 用 自身 2k 次 才 可 以 找到 一 个 概率 素 
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数 , 最 终 停止 下 来 。 

由 于 Prime_Test(p) 的 时 间 复 杂 度 为 O((logp)*) 二 OC(k*), 调 用 2k 次 Prime _ 
Test 后 ,Prime_Gen(k) 的 时 间 复 杂 度 为 OCR ) 。 

有 效 算法 这 一 定义 给 出 了 容易 处 理 问题 的 概念 : 不 管 是 确定 性 还 是 随机 化 的 ， 
多 项 式 时 间 的 问题 是 容易 处 理 的 ,也 就 是 说 ,即使 这 类 问题 的 输入 规模 非常 大 , 它 要 
求 的 资源 也 是 可 以 处 理 的 。 相 对 地 , 易 处 理 之 外 的 问题 就 是 难处 理 的 。 

有 许多 函数 大 于 任意 的 多 项 式 。 设 函数 f(n):N 一 R, 如 果 对 于 任意 的 多 项 式 
p(n) ,存在 自然 数 no ,使 得 对 任意 的 nn 二 no ,都 有 fC) 记 pln) ,那么 就 说 f(n) 是 关于 
n 的 任意 多 项 式 无 界 的 。 

例如 ,对 于 任意 的 <>1,0 一 上 一 1, 函 数 i1070) 二 =a” 9 ,fo(n) 二 ndeoaoew' 都 是 
关于 nn 的 任意 多 项 式 无 界 的 。 

与 多 项 式 时 间 ( 确 定性 的 或 非 确定 性 的 ) 问 题 相 比较 ,时 间 复 杂 度 为 非 多 项 式 时 
间 界 的 问题 视 为 在 计算 上 不 可 行 的 ,或 者 困难 的 。 这 是 因为 , 当 问 题 实 例 的 规模 增长 
时 ,求解 这 种 问题 所 要 求 的 资源 增长 太 快 ,以 至 于 很 快 就 大 得 不 实际 了 。 例 如 , 设 
NN 是 长 度 为 的 合 数 , 即 "一 logN ,那么 , 取 a 之 exp(1. 9229994… 十 o0(1)) 和 +t 二 1/3， 
其 中 o(1) 守 1/logN ,函数 f1(logN) 的 时 间 复 杂 度 表达 式 为 

exp(1. 9229994… 十 o(1)(logN)VYs(loglogN)23) 
这 是 关于 N 的 亚 指 数 表 示 。 如 果 把 1/3 替换 为 1, 那么 该 形式 就 是 指数 表示 。 亚 指 
数 函 数 比 指数 函数 增长 缓慢 得 多 ,但 是 比 多 项 式 函 数 快 得 多 。 多 于 1024 比特 的 整数 
来 说 ,上 式 是 一 个 大 于 2 的 量 , 即 使 使 用 大 量 的 计算 机 并 行 运行 ,这 样 的 量 级 也 是 无 
法 处 理 的 。 

对 于 很 大 的 量 , 定 义 了 非 多 项 式 界 的 概念 ,对 于 很 小 的 量 , 定 义 下 面 的 概念 。 

设 函 数 eln):N>R, 如 果 1/e(n) 是 关于 的 一 个 非 多 项 式 有 界 的 量 , 那 么 就 称 
a(n) 是 关于 nn 的 可 忽略 量 , 简 称 e(n) 是 可 和 忽略 的 。 

例如 ,对 于 任意 的 多 项 式 p(nw) 来 说 ,p(n)/2" 就 是 一 个 可 忽略 量 。 

可 忽略 量 比 任意 的 多 项 式 的 倒数 更 快 地 趋 近 于 0。 如 果 认 为 非 多 项 式 有 界 量 是 
难处 理 的 ,那么 ,忽略 任何 可 忽略 量 应 该 是 无 关 紧 要 的 。 


6.2.5 非 确 定性 多 项 式 时 间 


考虑 下 面 的 判定 性 问题 。 

问题 : SQUARE-FREENERSS 。 

输入 : Ni: 一 个 正 的 奇 合 数 。 

输出 : N 无 平方 因子 吗 ? 

如 果 不 存在 素数 p ,满足 大 |N,' 回 答 YES。 

SQUARE-FREENERSS 问题 很 困难 :到 目前 为 止 : 还 没有 已 知 的 算法 (无 论 是 
确定 性 算法 还 是 概率 算法 ) 可 以 在 多 项 式 时 间 内 回答 这 一 问题 。 存 在 一 些 回答 该 问 
题 的 算法 ,如 下 面 的 例子 : 输入 N, 用 所 有 不 超过 LVN 的 奇 素数 的 平方 穷 举 试 除 ,如 
果 所 有 试 除 都 失败 , 则 回答 YES。 对 一 般 的 输入 实例 N, 这 种 方法 的 运行 时 间 
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为 O(LVND 一 OCer sheN)。 

不 过 ,也 不 应 该 将 SQUARE-FREENERSS 问题 想 得 太 难 了 。 如 果 知 道 该 问题 
的 一 些 “ 内 部 信息 ”, 称 为 证 据 ( 或 者 辅助 输入 ) ,那么 回答 可 以 在 输入 长 度 的 多 项 式 时 
间 内 验证 。 例 如 ,对 于 输入 NN, 整数 g(N) 称 为 N 的 欧 拉 函 数 , 是 小 于 NN 而 且 与 N 
互 素 的 所 有 整数 的 个 数 , 它 可 以 用 作 一 个 证 据 , 使 一 个 有 效 的 验证 算法 可 以 验证 关于 
NN 是 否 无 平方 因子 的 回答 。 算 法 6. 2. 2 就 是 一 个 有 效 的 验证 算法 。 


算法 6.2.2 Square-Free(N, gpg(N)) 
1. d<gcd(N,p(N)); 
2. 如 果 d 二 1 或 者 d? 不 整除 N, 回 答 YES, 否 则 回答 NO。 


根据 p(N) 的 定义 很 容易 证 明 该 算法 的 合理 性 。 从 欧 氏 算法 的 时 间 复 杂 度 可 
知 , 上 述 算法 的 运行 时 间 是 关于 N 的 长 度 的 多 项 式 时 间 。 

现在 描述 这 样 一 个 计算 设备 , 它 给 出 求解 和 SQUARE-FREENERSS 问题 具有 
相同 特征 的 一 类 问题 的 方法 。 该 设备 的 计算 可 以 通过 一 棵 树 来 描述 。 

这 一 设备 称 为 非 确 定性 图 灵机 。 它 是 图 灵机 的 一 个 变型 ,在 每 一 步 , 机 器 具有 有 
限 个 选择 进行 下 一 步 。 一 个 输入 串 称 为 可 识别 的 ,条 件 是 至 少 存在 一 系列 合法 的 移 
动 , 当 机 器 扫描 第 一 个 输入 符号 时 , 它 从 机 器 初始 状态 开始 ,完成 扫描 输入 串 后 到 达 
满足 中 止 条 件 的 状态 。 这 样 的 一 系列 移动 称 为 一 个 识别 序列 。 

可 以 想象 , 非 确定 性 图 灵机 寻求 可 识别 问题 实例 的 解 需要 进行 一 系列 的 猜测 , 正 
确 猜测 的 系列 移动 形成 一 个 识别 序列 。 因 此 ,机 器 可 以 做 出 的 所 有 可 能 移动 形成 了 
一 棵 树 ( 称 为 非 确定 性 图 灵机 的 计算 树 ) 。 树 的 大 小 ( 即 节点 数 ) 显 然 是 关于 输入 规模 
的 指数 函数 。 但 是 ,对 于 可 识别 的 输入 实例 ,由 于 一 个 识别 序列 中 移动 的 次 数 就 是 树 
的 深度 d ,识别 序列 中 移动 的 次 数 必定 以 输入 实例 规模 的 多 项 式 为 界 。 所 以 ,通过 一 
系列 正确 的 猜测 ,识别 可 识别 的 输入 的 时 间 复 杂 度 是 输入 规模 的 一 个 多 项 式 。 

定义 6.2.4 人 们 称 非 确 定性 图 灵机 在 多 项 式 时 间 内 可 以 识别 的 语言 类 为 
AP 类 。 

直接 可 以 看 出 

PS AP 

也 就 是 说 , 刀 中 的 每 一 种 语言 (判定 性 问题 ) 用 非 确 定性 图 灵机 是 很 容易 识别 的 。 
人 7 问题 的 这 些 子 类 可 以 有 效 求 解 的 原因 在 于 这 些 问题 有 大 量 的 证 据 , 通 过 随机 猜测 
很 容易 找到 。 以 人 MP 难 问 题 表示 只 有 稀 玻 证 据 的 非 确定 性 多 项 式 时 间 ( 判 定性 ) 问 
题 ,这 里 稀 玖 证 据 的 含义 是 : 在 一 个 NP 问题 的 计算 树 中 ,识别 序列 个 数 相 对 于 序列 
总 数 而 言 是 一 个 可 和 忽略 的 量 。 

如 果 某 一 个 问题 只 有 稀 蚊 证 据 . 那 么 非 确定 性 图 灵机 实际 上 并 不 能 提供 任何 有 
效 的 算法 来 识别 它 。 对 于 有 大 量 证 据 的 和 NP 问题 非 确 定性 图 录 机 是 有 效 设 备 。 对 于 
只 有 稀 玲 证 据 的 和 NP 问题 , 非 确定 性 图 录 机 只 是 模型 化 了 具有 下 列 特 性 的 一 类 判定 
性 问题 : 给 定 一 个 证 据 , 一 个 判定 性 问题 的 答案 可 以 在 多 项 式 时 间 内 进行 验证 。 

人 PP 问题 的 一 个 证 据 由 非 确定 性 图 录 机 的 计算 树 中 的 一 个 识别 序列 来 刻画 。 
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那么 ,不 用 证 据 , AP 中 任意 给 定 问 题 的 确切 复杂 度 是 多 少 呢 ? 这 个 问题 的 答案 
尚 不 清楚 。 不 使 用 证 据 来 求解 人 办 中 任意 问题 的 所 有 已 知 算法 表明 , 它 没 有 多 项 式 
界 的 时 间 复 杂 度 。 但 到 目前 为 止 , 还 没有 人 证 明 这 是 必要 的 , 即 证 明 P 关 NMP。 同样 ， 
也 没有 人 证 明 反 面 的 情形 , 即 证 明 PP 问题 “PP 一 .AP? "是 计算 机 科学 中 一 个 非常 
著名 的 公开 问题 。 

如 果 求 解 问题 P 的 任意 算法 A 的 复杂 度 开销 都 不 小 于 B, 则 称 B 为 问题 P 的 
复杂 度 下 界 。 如 果 求 解 P 的 任意 算法 A 的 复杂 度 开销 都 不 超过 器, 则 称 U 为 问题 P 
的 复杂 度 上 界 。 

对 马 中 的 任何 问题 ,通常 容易 确定 其 复杂 度 下 界 , 也 就 是 说 ,给 出 精确 的 多 项 
式 界 来 表示 求解 该 问题 必需 的 步骤 数量 。 图 灵机 Div3 就 是 一 个 例子 : 它 识别 一 
个 比特 输入 串 恰好 需要 n 步 。 

对 于 ANP 中 的 问题 ,总 是 难以 确定 其 复杂 度 下 界 , 其 至 找 一 个 新 的 较 小 的 上 界 也 
很 难 。ANP 问 题 的 所 有 已 知 的 复杂 度 界 都 是 上 界 。 例 如 ,已 经 说 明了 LVN 二 通过 试 
除法 来 回答 SQUARE-FREENESS 问题 的 一 个 复杂 度 上 界 。 本 质 上 ,上 界 说 明 求解 
这 个 问题 只 要 这 么 多 步骤 就 足够 了 ,但 在 更 少 的 步 数 内 求解 也 是 可 能 的 。 事 实 上 ,对 
于 SQUARE-FREENESS 问题 ,通过 数 域 筛 法 来 分 解 N 的 复杂 度 需 要 的 步 数 小 
于 LV 六 小 但 仍然 是 一 个 上 界 。 

对 于 以 复杂 度 为 安全 性 基础 的 现代 密码 学 .确定 NP 问题 的 非 多 项 式 下 界 的 困 
难 性 有 重要 的 影响 。 确 定 NP 问题 的 下 界 意味 着 计算 复杂 性 理论 的 一 个 重大 突破 。 


6.2.6 计算 复杂 性 理论 与 现代 密码 学 


基于 复杂 性 理论 的 现代 密码 学 将 PZ.NP 作 为 必要 条 件 , 称 之 为 PNP 猜 想 。 

男 一 方面 ,加 密 算法 应 向 拥有 正确 的 密 钥 的 用 户 提 供 有 效 的 加 密 / 解 密 算法 ,而 
对 于 试图 从 密 文中 提取 明文 或 者 不 用 正确 的 密 钥 构造 合法 密 文 的 人 (攻击 者 或 者 密 
码 分 析 者 ) 来 说 ,这 是 一 个 难处 理 的 问题 。 因 此 , 密 钥 对 基于 NP 问题 的 密码 体制 来 
说 起 着 一 个 证 据 或 者 辅助 输入 的 作用 。 

该 猜想 还 构成 了 单 向 函数 存在 的 必要 条 件 。 单 向 函数 具有 有 趣 而 神奇 的 性 质 : 
对 所 有 的 输入 x, 计算 f(x) 是 容易 的 ,但 是 ,除了 可 忽略 的 部 分 实例 ,给 定 绝 大 多 数 
的 f(x) 值 ,要 找 出 zx 是 极为 困难 的 。 我 们 知道 NP 难 问 题 提 供 了 实现 具有 这 一 性 质 
的 单 向 函数 的 候选 问题 。 

进一步 , 单 向 函数 的 存在 构成 了 数字 签名 存在 的 必要 条 件 。 数 字 签 名 应 该 具有 
这 样 的 性 质 : 验证 一 个 签名 的 有 效 性 是 容易 的 ,但 是 伪造 一 个 合法 的 签名 是 困难 的 。 

需要 特别 提 及 的 是 ,PANP 猜 想 在 密码 学 中 有 男 一 个 令 人 着 迷 的 应 用 : 它 在 零 
知识 证 明 协 议和 交互 式 证 明 系 统 中 起 着 根本 性 的 重要 作用 。 

零 知 识 证 明 协 议 是 一 种 交互 式 程序 , 它 运行 在 两 个 主体 之 间 , 分 别称 为 证 明 者 和 
验证 者 。 验 证 者 具有 多 项 式 界 的 计算 能 力 .证明 者 拥有 辅助 输入 ,协议 允许 证 明 者 向 
验证 者 证 明 自 己 知道 一 个 NP 问题 的 YES 答案 ,而 且 不 让 后 者 知道 怎样 进行 这 样 的 
证 明 ( 即 不 向 后 者 泄漏 辅助 输入 )。 这 样 , 验 证 者 对 于 证 明 者 的 辅助 输入 获得 的 是 “ 零 


158 
第 6 章 计算 复杂 性 方法 与 技术 | 


知识 ”。 这 样 一 个 证 明 可 以 用 非 确定 性 图 灵机 增加 一 条 随机 纸 带 来 模拟 。 证 明 者 可 
以 利用 辅助 输入 ,可 以 指示 图 灵机 关于 输入 问题 沿 着 识别 序列 移动 (证 明 YES 答 
案 )。 证 明 的 复杂 度 是 关于 输入 规模 的 一 个 多 项 式 。 验 证 者 需要 向 证 明 者 提问 ,要 求 
证 明 者 指示 图 灵机 或 者 沿 着 识别 序列 或 者 沿 着 另外 一 个 不 同 序列 移动 ,而 提问 的 问 
题 是 均匀 随机 的 。 因 此 ,在 验证 者 看 来 .该 证 明 系 统 正 好 按照 随机 化 图 灵机 的 模式 运 
行 ,其 差错 概率 通过 独立 重复 执行 可 以 减 小 到 一 个 可 忽略 量 , 也 正 基 于 这 一 特性 , 验 
证 者 相信 证 明 者 确实 知道 输入 问题 YES 答案 。 

PNP 猜 想 在 零 知识 证 明 协 议 中 起 到 以 下 两 个 作用 : MP 问题 的 辅助 输入 使 得 
证 明 者 可 以 进行 有 效 的 证 明 ; 问 题 的 困难 性 意味 着 验证 者 自己 不 能 检验 证 明 者 的 
声明 。 

另 一 方面 ,即使 密码 体制 基于 NP 完全 问题 ,PNP 猿 想 并 没有 提供 密码 体制 安 
全 性 的 充分 条 件 。 著 名 的 背包 问题 的 破解 就 是 一 个 反例 。 

那么 ,为 什么 基于 NP 问题 的 密码 体制 会 被 攻破 呢 ?” 现 在 给 出 两 个 简要 而 清晰 
的 解释 。 

首先 ,计算 复杂 性 理论 方法 使 用 了 全 称 量词 “ 任 意 实例 IEL” 来 限定 复杂 性 类 中 
的 语言 工 , 这 就 导致 了 最 坏 情形 的 复杂 性 分 析 , 即 使 一 个 问题 只 有 可 忽略 的 少数 困难 
实例 ,该 问题 也 被 认为 是 困难 的 。 相 反 ,密码 分 析 只 要 能 够 破坏 不 可 忽略 的 比例 的 实 
例 ,就 认为 是 成 功 的 。 这 就 是 破解 一 个 基于 AP 完全 问题 的 密码 体制 未 必 能 求解 其 
基础 的 AP 完全 问题 。 显 然 , 对 度量 密码 体制 安全 性 来 说 ,最 坏 情 形 的 复杂 度 准 则 是 
做 不 到 的 ,也 没有 用 处 。 

另 一 个 原因 是 确定 人 MP 问题 新 的 上 界 的 内 在 困难 性 。 对 于 基于 AP 难 问 题 的 密 
码 体制 的 安全 性 基础 ,即使 已 经 证 明了 其 困难 性 ,最 好 的 情形 也 不 过 是 基于 一 个 公开 
问题 ,因为 只 知道 该 问题 的 一 个 复杂 性 上 界 。 实 际 上 ,对 于 基于 NP 问题 的 密码 体 
制 ,甚至 连 其 基础 问题 的 困难 性 也 没有 明确 地 界定 。 

将 复杂 性 理论 中 的 困难 性 作为 现代 密码 学 的 安全 性 基础 是 并 不 充分 的 。 可 能 有 
许多 实际 的 方式 危及 实际 应 用 的 密码 系统 ,而 这 些 危害 可 能 和 构成 算法 的 安全 性 基 
础 的 数学 难题 没有 什么 关系 。 


6.3 归 约 方法 和 模型 


在 许多 情况 下 ,可 以 把 问题 P; 的 一 个 实例 I 转换 为 问题 Pi 的 一 个 实例 f(D， 
通过 求解 /( 了 就 得 到 了 实例 了 的 解 。 

定义 6.3.1 (多 项 式 归 约 ) 设 语言 A,B 刁 {10,1}" 。 如 果 存 在 一 个 确定 性 多 项 
式 时 间 可 计算 的 函数 /:{0,1}" 一 {0,1)}" ,使 得 对 于 任意 的 E10,1}" ,xEA 当 且 
仅 当 f(x)€EB, 那 么 就 称 语言 A 可 以 多 项 式 归 约 到 语言 B, 记 为 A 三 。B。/ 称 为 从 
A 到 B 的 归 约 。 

下 面 的 简单 引 理 是 很 重要 的 。 表 明 : 如 果 A 三 ,,B 而 且 B 是 容易 的 ,那么 A 也 
是 容易 的 。 
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引 理 6.3.1 如 果 A 二 ,B ,并 且 BEP, 那 么 AEP。 

证 明 : 如 果 A 三 ，B ,并 且 BEP, 则 存在 两 个 确定 性 图 灵机 M 和 N ,满足 以 下 
条 件 : 

(1) M 计算 某 个 函数 f: 5* 一 了 ,使 得 zxEA 合 FCz)EB; 

(2) 存在 多 项 式 p(n) ,使 得 Ty (mn) 夺 p(n); 

(3) N 判定 了 语言 B; 

(4) 存在 多 项 式 g(n) ,使 得 Tw (n) 三 gq(n)。 

下 面 构造 一 个 多 项 式 时 间 的 确定 性 图 灵机 来 判定 语言 A。 给 定 输入 xz, 把 zx 作 
为 M 的 输入 ,得 到 f(x)。 然 后 把 f(x) 输入 N, 并 根据 N 接受 (拒绝 )f(zx) 来 决定 接 
受 ( 拒 绝 )x。 

由 于 M 计算 了 从 语言 A 到 B 的 一 个 归 约 ,而 N 判定 了 语言 B ,构造 的 新 的 确定 
性 图 灵机 当然 可 以 判定 语言 A。 下 面 说 明 其 运行 时 间 是 多 项 式 的 。 注 意 到 ,M 用 来 
计算 f(z) 的 时 间 至 多 为 p(n)。 进 一 步 ,Ty (n) 三 p(w) 意 味 着 | f(z) | 三 p(n) 十 n, 这 
是 由 于 机 器 M 开始 时 纸 带 上 的 字符 串 长 度 为 n ,而 至 多 经 过 p(n) 步 后 停止 ,所 以 在 
停机 后 非 空 单元 数 不 会 超过 p00) 十 n。 因 此 ,对 于 输入 f(z) ,机 器 N 运行 的 时 间 至 
多 为 gC(p(n) 十 n)。 从 而 ,新 构造 的 机 器 的 整个 运行 时 间 至 多 为 p(n) 十 gq(p (m0) 十 n)， 
仍然 是 输入 规模 nn 的 多 项 式 。 这 样 , 就 证 明了 AEP。 

显然 ,如 果 把 PP 替换 为 NP ,类似 的 结论 也 是 成 立 的 。 

引 理 6.3.2 如 果 A 二 ,B ,并 且 BE NP, 那 么 AENP。 

下 面 的 结论 表明 ,如 果 B 至 少 与 A 一 样 困 难 , 而 C 至 少 与 B 一 样 困难 ,那么 C 至 
少 与 A 一 样 困难 。 也 就 是 说 ,关系 三 ,, 是 可 传递 的 。 

引 理 6.3.3 如果 A 过,B ,B 达 ,.C ;那么 A 委 。C 。 


6.3.1 非 确 定性 多 项 式 时 间 完 备 


尽管 不 清楚 是 否 P=.NP, 但 是 知道 ,NP 中 某 些 问 题 和 AP 中 任何 问题 的 难度 是 一 
样 的 。 在 这 个 意义 上 ,如 果 有 一 个 有 效 算法 求解 其 中 的 一 个 问题 ,那么 NP 中 的 任何 
问题 都 能 够 找到 有 效 的 求解 算法 。 这 种 问题 称 为 非 确定 性 多 项 式 时 间 完 备 的 
(NP 完全 ,简单 记 为 NPC) 。 

SATISFIABILITY( 可 满足 性 ) 问 题 是 一 个 著名 的 NP 完全 问题 ,也 是 发 现 的 第 
一 个 NP 完全 问题 。 设 E(xi,xs，… ,ZX,) 表 示 由 个 布尔 变量 x1 ,xs,，… ,x 使 用 布 
尔 运 算 符 ,如 入 、V 和 一 ,构成 的 一 个 布尔 表达 式 。 

问题 SATISFIABILITY。 

输入 X=(zxis "zi Ts TT Tn) 

E(xi 7Xs + ) 
E(xzi,Xz，"… ,zn) 的 真 值 赋 值 是 X 的 一 个 子 列表 X ,满足 : 对 于 1 二 i 二 n,X’ 要么 包 
含 z;, 要 么 包含 了 -了 xi, 但 不 能 二 者 都 包含 ,而 且 EC(X’) 二 True。 
问题 “E(xzi .xz,… ,XxX,) 可 以 满足 吗 ? 
也 就 是 说 ,存在 一 个 真 值 赋值 吗 ? 
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如 果 给 定 一 个 可 满足 的 真 值 赋值 ,那么 显然 YES 回答 可 以 在 多 项 式 时 间 内 验 
证 。 因 此 ,根据 定义 6. 2.3,SATISFIABILITY 属于 NP。 注意 ,有 2" 个 可 能 的 真 值 
赋值 ,到 目前 为 止 , 还 没有 确定 性 多 项 式 时 间 的 算法 来 确定 它 是 否 是 可 满足 的 。 

关于 SATISFIABILITY 是 NP 完全 的 ,是 由 Cook 证 明 , 该 证 明 是 构造 性 的 , 它 
将 任意 一 个 非 确 定性 多 项 式 时 间 图 灵机 归 约 为 一 个 求解 SATISFIABILITY 的 图 
灵机 。 

对 于 某 一 个 NP 完全 问题 ,如 果 可 以 找到 新 的 更 小 的 上 界 , 就 可 以 多 项 式 归 约 为 
整个 NP 类 的 新 结果 。 因 此 ,人 们 希望 设计 出 安全 性 基于 NP 完全 问题 的 密码 算法 ， 
对 于 这 类 密码 体制 的 成 功 攻击 将 会 导致 一 类 困难 问题 的 解决 ,这 是 不 可 能 的 。 然 而 ， 
无 论 是 实现 一 个 安全 使 用 的 密码 算法 ,还 是 通过 对 这 种 密码 体制 的 攻击 来 求解 整 类 
NP 完全 问题 ,这 样 的 想法 到 目前 为 止 还 没有 富有 成 效 的 结果 。 


6.3.2 归 约 方法 与 可 证 明 安 全 性 理论 


可 证 明 安 全 性 理论 ,就 是 在 计算 复杂 性 理论 的 框架 下 ,利用 “ 归 约 ”的 方法 对 密码 
体制 进行 严格 的 安全 性 证 明 , 把 一 些 已 经 得 到 深入 研究 的 计算 困难 问题 或 者 基本 的 
密码 模块 归 约 到 对 安全 协议 的 攻击 。 假 如 存在 一 个 攻击 者 能 够 对 安全 协议 或 密码 方 
案 发 动 有 效 的 攻击 ,那么 就 可 以 利用 该 攻击 者 构造 一 个 算法 用 于 求解 困难 问题 。 如 
果 归 约 是 多 项 式 时 间 的 ,那么 从 计算 复杂 性 理论 的 角度 来 说 ,对 安全 协议 的 攻击 难度 
等 同 于 求解 该 协议 基于 的 困难 问题 或 者 密码 模块 ,所 以 对 于 安全 性 来 说 ,计算 困难 假 
设 与 安全 的 密码 模块 已 经 足够 了 。 

在 可 证 明 安 全 性 理论 中 ,要 证 明 一 个 密码 方案 C 的 安全 性 ,一般 做 法 是 这 样 的 : 

(1) 根据 密码 方案 的 设计 需求 ,形式 地 定义 C 的 安全 性 。 

(2) 选择 一 个 难以 求解 的 困难 问题 ,或 者 难以 破解 的 安全 密码 模块 ,这 通常 是 所 
设计 的 密码 方案 的 最 基本 的 组 成 构件 P。 

(3) 把 求解 也 的 问题 归 约 到 攻破 C, 也 就 是 说 ,给 定 刀 的 一 个 实例 五 ,构造 C 的 一 
个 实例 到 ,并 把 C 雹 ?的 解答 转换 成 P( 五 ) 的 解答 。 这 里 要 求 问题 C 和 天 的 实例 构 
造 ,以 及 它们 的 解答 的 转换 都 是 多 项 式 时 间 的 。 

由 于 基本 模块 了 是 难以 求解 的 计算 困难 问题 或 者 安全 的 密码 模块 ,通常 经 过 了 
长 期 的 深入 研究 ,所 以 刀 的 安全 性 保证 了 C 是 难以 攻破 的 。 

这 类 证 明 方法 中 ,首先 强调 在 一 般 框 架 中 这 样 一 个 事实 : 允许 敌手 完全 访问 密 
码 模块 ,但 是 以 黑箱 的 方式 。 敌 手 可 以 对 其 选择 进行 任何 查询 ,而 黑箱 总 是 能 够 正确 
地 在 常数 时 间 内 给 予 回答 。 

必须 说 明 的 是 ,可 证 明 安 全 性 理论 也 有 局 限 性 : 首先 要 注意 到 模型 的 设计 , 即 所 
建 模型 都 涵盖 了 哪些 攻击 。 这 个 模型 并 不 考虑 计时 攻击 ,其 中 敌手 试图 从 计算 时 间 
中 提取 秘密 信息 。 一 些 其 他 的 攻击 通过 分 析 计 算 所 需 的 电磁 能 量 来 得 到 秘密 ,或 者 
使 得 模块 对 于 某 些 计算 失败 ,本 模型 也 没有 涵盖 这 些 攻击 。 但 这 并 不 意味 着 可 证 明 
安全 的 方案 就 一 定 不 能 抵抗 这 类 攻击 ,而 是 说 未 证 明 可 以 抵抗 这 类 攻击 ;其 次 即使 应 
用 具有 可 证 明 安 全 性 的 方案 ,也 可 能 有 其 他 方式 破坏 安全 性 : 有 时 证 明了 安全 性 ,但 
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问题 可 能 是 错误 的 ,也 可 能 应 用 了 错误 的 模型 或 者 协议 被 错误 操作 ,甚至 软件 本 身 可 
能 有 “Bugs”。 

另 一 需要 注意 的 问题 是 基础 假设 的 选取 : 可 证 明 安 全 性 是 以 某 一 假设 为 基础 
的 ,因此 一 旦 该 假设 靠不住 ,安全 性 证 明 也 就 没有 意义 了 (当然 不 一 定 意味 着 可 构造 
对 方案 的 攻击 实例 ) ;选取 基础 假设 的 原则 就 是 “ 越 弱 越 好 ”, 通 常 称 弱 假 设 为 标准 假 
设 。 基 础 假设 的 强 弱 是 比较 不 同安 全 方案 的 重要 尺度 之 一 。 


6.4 应 用 举例 


设计 与 分 析 密 码 方案 和 安全 协议 是 信息 安全 中 的 核心 研究 课题 之 一 。 传 统 的 设 
计 方 法 ,是 针对 密码 算法 或 安全 协议 的 目标 ,基于 某 个 困难 问题 假设 或 者 基本 密码 模 
块 提出 密码 算法 或 安全 协议 ,并 接受 公众 的 安全 性 分 析 ; 如 果 经 过 长 时 间 ( 如 十 几 年 》 
的 分 析 仍 然 不 能 破译 ,就 认为 它 是 安全 的 ,或 者 在 发 现 某 些 安全 漏洞 之 后 ,对 其 进行 
修补 和 改进 。 由 于 新 的 密码 算法 或 安全 协议 分 析 技 术 的 出 现 是 不 确定 的 ,而 任何 新 
的 分 析 技 术 都 可 能 使 得 密码 方案 或 安全 协议 宣告 破解 ,所 以 传统 的 设计 方法 很 难 确 
保 一 个 密码 算法 或 安全 协议 的 安全 性 。 事 实 上 ,在 多 年 来 的 信息 安全 实践 中 ,一 些 一 
开始 公认 为 很 困难 的 密码 体制 被 完全 攻破 (如 基于 背包 问题 的 Chor-Rivest 密码 系 
统 ) ,一 些 公认 为 安全 的 协议 被 发 现存 在 严重 的 安全 漏洞 (如 基于 RSA-PKCS1. 5 标 
准 的 SSL 协议 ) ,因此 ,一 时 间 内 缺乏 攻击 绝 不 能 就 简单 认定 一 个 密码 方案 是 安全 可 
靠 的 。 另 一 方面 ,尽管 密码 算法 和 安全 协议 是 在 一 些 困难 问题 或 者 NP 完全 问题 的 
基础 上 提出 来 的 ,但 其 安全 性 不 一 定 就 等 价 于 那些 困难 问题 ,要 评估 它 的 确切 复杂 性 
或 者 安全 性 到 底 有 多 高 ,需要 进行 严格 的 理论 分 析 。 

如 何 设计 高 度 可 信 的 安全 协议 和 密码 算法 ,是 近年 来 的 一 个 焦点 研究 问题 。 国 
内 外 很 多 学 者 从 各 方面 作 了 尝试 ,其 中 可 证 明 安 全 性 理论 就 是 为 解决 上 述 问 题 而 提 
出 的 一 种 有 效 的 解决 方案 。 可 证 明 安 全 性 理论 是 一 种 公理 化 的 设计 思想 , 它 可 以 保 
证 : 假如 存在 一 个 攻击 者 能 够 对 安全 协议 或 密码 算法 发 动 有 效 的 攻击 ,那么 就 可 以 
利用 该 攻击 者 构造 一 个 算法 用 于 求解 困难 问题 或 者 破解 密码 模块 。 

可 证 明 安 全 性 理论 的 应 用 价值 是 显而易见 的 : 可 以 把 主要 精力 集中 在 基本 密码 
模块 和 计算 困难 问题 的 研究 上 ,这 些 是 基础 性 的 `. 带 有 艺术 色彩 的 研究 工作 ;作为 安 
全 协议 基本 组 件 或 者 密码 方案 的 计算 困难 假设 ,如 果 这 些 基本 模块 是 不 安全 的 ,所 设 
计 的 方案 一 定 是 不 安全 的 。 另 一 方面 ,可 证 明 安 全 性 理论 本 质 上 是 一 种 公理 化 研究 
方法 ,其 最 基础 的 假设 是 “好 ”的 密码 模块 存在 。 

在 可 证 明 安 全 性 理论 研究 的 最 初时 期 ,研究 工作 集中 于 设法 给 出 正确 的 安全 性 
定义 ,然后 设计 能 够 满足 该 安全 定义 的 安全 协议 或 者 密码 方案 。20 世纪 80 年 代 初 ， 
Goldwasser、Micali 和 Rivest 等 首先 比较 系统 地 阐述 了 这 一 思想 .给 出 了 具有 可 证 明 
安全 性 的 加 密 和 签名 方案 中。 

早期 的 可 证 明 安 全 性 研究 工作 不 依赖 于 其 他 的 理想 假设 , 称 为 标准 模型 下 的 可 
证 明 安 全 性 理论 。 一 方面 .这些 研 究 工 作 在 理论 上 具有 重要 的 意义 ,但 是 由 此 设计 出 
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来 的 安全 协议 或 密码 算法 却 非常 不 实用 ,大 多 数 情 况 下 其 可 证 明 安 全 性 是 以 损失 效 
率 为 巨大 代价 的 ; 另 一 方面 , 归 约 技巧 来 自 于 复杂 性 理论 ,其 有 效 性 是 以 多 项 式 时 间 
来 衡量 的 ,因此 ,标准 模型 下 所 得 到 的 归 约 大 多 数 是 多 项 式 时 间 的 ,这 些 结果 只 是 在 
理论 上 达到 了 目的 ,但 对 于 实际 应 用 中 的 密码 方案 的 安全 性 并 无 实质 性 的 影响 。 所 
以 ,寻求 更 加 高 效 的 归 约 证 明 从 而 保证 确切 的 安全 性 或 者 说 实际 的 安全 性 ,一直 是 众 
多 学 者 的 努力 目标 。 

到 20 世纪 90 年 代 中 期 ,人 们 开始 研究 “面向 实际 的 可 证 明 安 全 性 ”5 ,以 提高 安 
全 协议 的 效率 。 主 要 思想 就 是 在 一 些 理想 模型 的 理论 框架 下 来 处 理 问题 ,在 这 些 模 
型 中 把 某 些 具体 的 对 象 看 作 理 想 的 随机 函数 ,从 而 得 到 可 证 明 安 全 而 又 高 效 实 用 的 
方案 。 第 一 个 模型 是 由 Fait 和 Shamir[] 引 入 ,而 由 Bellare 和 Rogaway 中 正式 提出 
的 随机 预言 模型 (Random Oracle Model. ROM) ,把 Hash 函数 作为 理想 的 随机 函 
数 ;也 有 人 提出 了 理想 密码 模型 (Ideal Cipher Model,ICM) ,把 分 组 密码 作为 真正 的 
随机 置换 来 处 理 可 证 明 安 全 性 的 问题 。 

理想 模型 的 引入 ,使 得 情况 大 为 改观 : 一 方面 ,过 去 仅 作为 纯粹 理论 研究 的 可 证 
明 安 全 性 理论 ,迅速 在 实际 应 用 领域 取得 重大 进展 ,一 大 批 快捷 有 效 的 安全 方案 相继 
提出 ; 另 一 方面 ,人 们 开始 在 理想 模型 下 考虑 可 证 明 安 全 性 的 “具体 安全 性 ”或 者 “ 确 
切 安全 性 ”: 不 再 仅仅 满足 于 多 项 式 时 间 的 安全 性 归 约 ,而 是 可 以 给 出 较 准 确 的 安全 
性 度量 。 

随机 预言 模型 下 的 面向 实际 的 可 证 明 安 全 性 理论 既 从 理论 上 保证 了 密码 方案 的 
高 度 安 全 性 ,又 能 很 容易 地 用 于 工程 实践 ,目前 已 为 国际 密码 学 界 和 产业 界 广 为 接 
受 , 是 可 证 明 安 全 性 理论 最 成 功 的 实际 应 用 。 随 机 预言 模型 目前 业已 得 到 广泛 认可 ， 
在 该 模型 下 通过 可 证 安全 理论 研究 设计 密码 算法 与 安全 协议 已 成 为 工程 实践 中 的 一 
个 准则 ,并 且 被 近年 来 的 标准 化 运动 所 采纳 ,包括 RSA 的 PKCS 标准 、IEEE 的 
P1363 标准 、NESSIE 工程 等 。 


6.4.1 归 约 效率 与 实际 安全 性 


在 20 世纪 80 年 代 初 期 ,一 些 具体 的 可 证 明 安 全 的 加 密 方案 和 签名 方案 相继 提 
出 。 然 而 ,这 些 证 明 只 是 具有 理论 上 的 影响 ,因为 所 提出 的 方案 和 给 出 的 归 约 完全 是 
不 切实 际 的 ,当然 ,仍然 是 多 项 式 的 。 从 复杂 性 的 角度 来 看 ,其 归 约 的 确 是 有 效 的 ( 即 
多 项 式 时 间 的 ) ,因此 对 密码 系统 的 多 项 式 时 间 的 攻击 将 导致 一 个 多 项 式 时 间 的 算法 
用 于 破解 基础 计算 假设 。 但 是 .后 者 尽管 是 多 项 式 时 间 的 , 它 可 能 需要 几 百 年 来 破解 
一 个 实例 。 

举例 来 说 ,考虑 基于 大 整数 分 解 的 密码 协议 。 假 设 提供 了 一 个 从 整数 分 解 到 攻 
击 的 归 约 ,但 是 该 归 约 导致 的 分 解 算法 的 复杂 度 是 2*k" ,其 中 是 要 分 解 的 整数 的 
比特 长 度 。 这 一 结果 的 确 与 不 存在 多 项 式 时 间 的 分 解 算法 的 假设 相 矛 盾 。 然 而 ,对 
于 一 个 1024 比特 的 数 (k 二 2”), 它 所 提供 的 算法 需要 2” 次 基本 操作 , 比 当前 最 好 的 
算法 要 复杂 得 多 ,如 NFS 算法 只 需要 2 次 基本 操作 。 所 以 ,这 一 归 约 只 对 超过 
4096 比特 的 数 才 有 意义 ,因为 此 时 A 一 22 ,2 一 213 ,其 中 22 是 使 用 最 好 的 算法 分 
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解 4096 比特 的 数 的 代价 。 

此 外 ,人 们 提出 的 很 多 方案 也 不 是 实用 的 。 事 实 上 ,这 些 协议 是 时 间 和 存储 空间 
的 多 项 式 ,但 并 非 足 够 高 效 以 用 于 实际 实现 。 

近 些 年 来 ,人 们 尝试 提出 一 些 实用 的 方案 ,而 且 可 以 提供 实际 的 归 约 和 确切 的 复 
杂 度 ,从 而 在 合适 的 假设 下 对 现实 的 参数 提供 安全 性 证 明 , 即 标准 模型 下 (在 复杂 性 
框架 下 ) 的 确切 归 约 。 例 如 ,假设 1024 比特 的 整数 不 能 在 小 于 2" 个 基本 操作 的 情况 
下 进行 分 解 ,密码 协议 不 能 在 小 于 2” 个 基本 操作 的 情况 下 破解 。 

遗憾 的 是 ,在 标准 模型 下 ,实际 的 归 约 很 难 与 实际 的 方案 共存 。 因 此 ,需要 对 政 
手 做 一 些 假设 : 攻击 是 一 般 性 的 , 它 与 某 些 对 象 的 具体 实现 是 无 关 的 。 

(1) 杂凑 函数 ,在 “随机 预言 模型 ”下 。 

(2) 分 组 密码 ,在 “理想 密码 模型 ”下 。 

(3) 代数 群 ,在 “一 般 群 模型 ”下 。 

随机 预言 模型 在 密码 领域 已 经 被 广泛 接受 。 顺 便 说 一 下 ,人 们 发 现 了 “一 般 群 模 
型 ?下 某 些 方案 的 缺陷 ,而 “随机 预言 模型 ?也 并 不 等 价 于 标准 模型 。 人 们 已 经 对 此 给 
出 了 几 个 差距 外。 但 是 ,随机 预言 模型 下 的 所 有 的 反例 都 是 不 自然 的 .违反 直觉 的 。 
因此 ,对 于 实际 和 自然 的 构造 方案 ,主要 在 这 一 模型 下 分 析 其 安全 性 。 随 机 预言 模型 
下 的 安全 性 证 明 至 少 对 方案 的 安全 性 给 出 了 很 强 的 论断 。 此 外 ,相对 于 使 用 强 的 计 
算 假 设 在 标准 模型 下 给 出 的 证 明 , 使 用 弱 的 计算 假设 在 随机 预言 模型 下 给 出 的 证 明 
更 加 具有 实际 意义 。 


6.4.2 随机 预言 模型 


如 前 面 所 述 ,在 20 世纪 90 年 代 以 前 ,标准 模型 下 的 可 证 明 安全 性 理论 是 研究 人 
员 关 注 的 焦点 。 然 而 ,这 方面 的 研究 工作 只 是 为 可 证 明 安 全 性 研究 奠定 了 理论 基础 ， 
由 此 所 设计 出 来 的 可 证 明 安 全 性 方案 是 以 损失 效率 为 代价 的 ,直至 今天 ,实用 的 标准 
模型 下 可 证 明 安 全 方案 也 是 少 之 又 少 。 效 率 与 可 证 明 安 全 性 似乎 很 难 同时 满足 , 效 
率 最 高 的 方案 中 没有 一 个 在 标准 模型 中 得 到 了 证 明 。 

许多 密码 方案 使 用 杂 竣 函数 (如 MD5 ,或 者 SHA-1、SHA-256、SHA-384、SHA- 
512) 。 使 用 杂凑 函数 的 最 初 动机 是 希望 用 一 个 短 的 签名 来 签署 长 消息 。 为 了 达到 抗 
抵赖 的 目的 ,对 杂凑 函数 的 最 小 需求 是 抗 碰撞 性 , 即 签名 者 不 可 能 找到 两 个 不 同 的 消 
息 使 得 其 杂凑 值 是 一 样 的 。 后 来 人 们 意识 到 ,杂凑 函数 不 仅 对 于 签名 方案 的 安全 性 
是 一 个 本 质 的 要 素 ,而 且 对 于 大 多 数 其 他 方案 也 是 一 样 的 。 为 了 得 到 安全 论断 ,同时 
保持 使 用 杂凑 函数 而 设计 方案 的 效率 , 几 个 作者 建议 了 这 样 的 假设 : 杂凑 函数 的 行 
为 类 似 于 一 个 随机 函数 。 首 先 ,Fiat 和 Shamirc] 启发 式 地 提出 了 一 个 与 因子 分 解 
“一 样 安全 ”的 签名 方案 。 接 着 .Bellare 和 Rogaway 在 1993 年 提出 了 随机 预言 模型 
(ROMD)5 ,宣告 了 设计 实用 可 证 明 安全 方案 时 代 的 到 来 。 

在 这 个 称 为 “随机 预言 模型 ”的 方法 中 ,杂凑 函数 被 形式 化 为 一 个 Oracle, 它 对 每 
一 个 新 的 查询 产生 一 个 真正 随机 的 值 。 当 然 , 如 果 用 相同 的 查询 询问 两 次 ,所 得 到 的 
回答 是 一 样 的 。 这 正好 对 应 于 复杂 性 理论 中 的 “oracle”, 因 此 其 名 字 就 是 随机 预言 。 
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Bellare 和 Rogaway 在 文献 [3] 中 提出 以 下 观点 : 假定 各 参与 方 (包括 敌手 ) 共 同 
拥有 一 个 公开 的 随机 的 预言 (oracle) 尺 。 当 设计 一 个 实际 的 协议 PP 时 ,首先 在 随机 预 
言 模型 下 设计 一 个 协议 厌 并 证 明 其 正确 性 ,然后 在 实际 方案 中 用 “适当 选择 ”的 伪 随 
机 函数 (如 Hash 函数 )h 取代 该 预言 。 一 般 来 说 ,这 样 设计 出 来 的 协议 可 以 和 当前 
协议 的 实现 效率 相当 , 比 标准 模型 下 的 方案 要 有 效 得 多 ,同时 也 保留 了 可 证 明 安 全 性 
的 优势 。 

在 假定 参与 方 拥 有 一 个 随机 oracle 的 模型 下 证 明 一 个 协议 的 正确 性 ,然后 使 用 
适当 的 密码 模块 ( 伪 随 机 函数 PRF) 来 代替 这 个 oracle。 然 而 ,在 用 PRF 来 实现 协议 
时 ,其 种 子 是 不 能 为 敌手 所 知 的 ,从 而 敌手 不 能 访问 oracle。 由 于 安全 杂 竣 函数 具有 
抗 碰撞 性 ,为 了 确保 安全 性 和 协议 的 实现 效率 ,一 些 人 主张 采用 Hash 函数 类 似 随机 
函数 的 假设 来 设计 协议 ,因此 它 成 为 许多 安全 方案 的 重要 组 成 部 分 。 首 次 明确 采用 
公开 的 随机 预言 模型 ,包括 敌手 在 内 的 各 参与 方 都 可 以 访问 该 oracle, 是 Fait 和 
Shamir 在 文献 [7] 中 提出 的 ,他 们 使 用 这 个 模型 把 身份 识别 方案 转换 成 签名 方案 。 

假设 提出 一 个 协议 问题 UI。 为 了 设计 一 个 安全 协议 了 来 解决 该 问题 (要 求 该 问 
题 与 模块 h 是 无 关 的 ) ,可 按照 以 下 步骤 执行 : 

(1) 在 随机 预言 计算 模型 中 为 I 建立 形式 的 定义 ,各 参与 方 (包括 敌手 ) 共 享 一 
个 或 多 个 随机 ordcle RR; 

(2) 在 随机 预言 模型 中 设计 一 个 解决 问题 工 的 有 效 协议 P; 

(3) 在 随机 预言 模型 中 证 明 满足 II 的 形式 定义 ; 

(4) 在 实际 应 用 中 用 Hash 函数 代替 R。 

正确 地 执行 这 一 方案 ,可 以 设计 出 安全 而 且 有 效 的 协议 。 实 际 上 ,到 目前 为 止 ， 
按照 这 一 方案 构造 的 协议 在 实践 中 证 明 是 安全 的 。 但 是 ,这 里 的 可 证 明 安全 性 断言 
都 是 在 随机 预言 模型 下 的 断言 .而 用 杂 凌 函数 来 代替 oracle 只 是 来 自 于 实践 经 验 的 
一 种 探索 。 

应 该 注意 到 ,这 里 随机 oracle( 即 Hash 函数 ) 对 每 一 个 新 的 询问 产生 一 个 随机 数 
作为 回答 ,但 是 如 果 对 相同 的 值 询 问 两 次 ,那么 得 到 的 回答 是 相同 的 ,这 是 和 随机 函 
数 的 微小 区 别 。 但 这 并 未 改变 该 方法 论 的 成 功 ,因为 只 要 求 在 敌手 看 来 像 随机 函数 。 

在 随机 预言 模型 方法 论 中 ,一 般 要 求 Hash 函数 hh 在 设计 上 要 能 抵抗 各 种 密码 
分 析 攻 击 ,不 会 暴露 某 些 相关 数学 结构 。 文 献 [3] 中 指出 .选择 h 并 不 需要 太 麻 烦 ,一 
个 适当 选择 的 杂凑 函数 就 可 以 满足 要 求 。 尽 管 MD5 及 SHA 本 身 不 是 一 个 好 的 选 
择 , 但 只 需 截 短 其 输出 或 用 某 种 非 标 准 方式 使 用 ,如 CCz) 一 MD5(Czz)。 

关于 这 一 模型 .没有 人 能 够 对 其 在 实际 中 的 有 效 性 提出 可 信 的 反驳 ,而 只 是 给 出 
了 一 些 理论 上 的 反例 ,这 些 反例 或 者 明显 有 设计 错误 的 .或 者 是 针对 认为 的 安全 概念 
的 。 因 此 ,这 个 模型 在 该 领域 内 得 到 了 普遍 接受 ,并 被 看 作 一 个 好 的 模型 ,用 于 分 析 
实际 的 安全 级 别 。 即 使 它 没有 提供 一 个 严格 的 安全 性 证 明 ( 如 同 标准 模型 那样 ,不依 
赖 于 任何 理想 假设 ) , 它 标 明了 : 只 要 杂凑 函数 没有 缺陷 ,该 模型 下 的 证 明 保证 了 方 
案 设计 的 整体 安全 性 。 

这 个 模型 也 可 以 看 作 是 对 敌手 能 力 的 一 种 限制 。 实 际 上 :, 它 意味 着 其 攻击 是 一 
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般 性 的 ,而 不 考虑 杂凑 函数 的 特定 的 实例 化 。 因 此 ,实际 攻击 需要 使 用 杂凑 函数 的 弱 
点 或 者 特定 的 性 质 。 把 杂凑 函数 用 另 一 个 代替 则 可 以 避免 攻击 。 

总 之 , 正 是 由 于 该 模型 能 够 为 非常 有 效 的 协议 提供 安全 性 验证 ,几乎 所 有 的 标准 
化 组 织 都 要 求 设计 可 证 明 安 全 的 、 至 少 是 在 随机 预言 模型 下 的 方案 。 


6.4.3 计算 假设 


在 密码 学 中 ,许多 安全 概念 并 不 能 在 无 条 件 的 情况 下 得 到 保证 。 因 此 ,安全 性 一 
般 依 赖 于 计算 假设 : 单 向 函数 的 存在 性 .或 者 单 向 置换 的 存在 性 、 或 者 是 陷 门 单 向 函 
数 ( 置 换 ) 的 存在 性 。 单 向 函数 是 一 个 满足 以 下 条 件 的 函数 f: 任何 人 容易 计算 函数 
值 ,但 是 给 定 y= 二 f(x), 恢复 x( 或 者 y 的 任何 前 像 ) 在 计算 上 是 不 可 行 的 。 单 向 置换 
是 一 个 双 射 的 单 向 函数 。 对 于 加 密 来 说 ,希望 只 有 接收 者 才 可 以 求 道 , 于 是 陷 门 单 向 
置换 是 一 个 特殊 的 单 向 置换 ,其 秘密 信息 5( 即 陷 门 ) 有 助 于 对 函数 进行 求 逆 。 

给 定 计算 假设 “在 没有 陷 门 信息 的 情况 下 .计算 函数 的 逆 是 不 可 行 的 ”希望 不 需 
要 额外 的 假设 即 可 得 到 安全 性 。 形 式 上 证 明 这 一 事实 的 唯一 方法 是 证 明 “ 攻 击 密 码 
协议 的 敌手 可 以 用 于 构造 算法 ,该 算法 能 够 求解 基础 计算 假设 ”。 

在 计算 假设 之 间 存 在 一 个 偏 序 关系 : 如 果 问 题 已 比 问题 P' 更 困难 (P’ 归 约 到 
PP) ,那么 问题 已 的 困难 性 假设 就 比 问题 已 "的 困难 性 假设 绊 。 密 码 方案 所 需要 的 假 
设 越 弱 ,其 安全 性 就 越 高 。 

在 基于 数论 的 公 钥 密码 学 中 有 两 类 主要 的 计算 假设 : 

(1) 基于 整数 分 解 的 方案 和 基于 RSA 问题 的 方案 。 

(2) 基于 离散 对 数 问题 的 方案 和 基于 Diffie-Hellman 问题 的 方案 。 第 一 个 使 用 
的 群 是 Z; 的 循环 子 群 。 现 有 许多 方案 是 基于 椭圆 曲线 的 循环 子 群 构造 的 。 

1. 整数 分 解 与 RSA 问题 

最 著名 的 困难 问题 是 整数 分 解 问题 ; 把 两 个 素数 p 和 g 相 乘 得 到 nn 二 p，g 是 容 
易 的 ,而 把 合 数 分 解 为 泰 因子 p 和 g 则 不 是 一 件 简单 的 事情 。 目 前 .最 有 效 的 分 解 
算法 是 数 域 科 法 。 数 域 得 法 (NFS) 是 超 多 项 式 的 、 亚 指数 算法 ,其 复杂 度 是 

CCexp((1.923 十 o(C1))(Cln mn ln n)’s)) 

该 方法 在 1999 年 8 月 创造 了 纪录 ,把 一 个 155 位 的 整数 (512 比特 ) 分 解 为 两 个 78 
位 素数 的 乘积 ,所 分 解 的 数 称 为 RSA-155, 来 自 于 “RSA 挑战 列表 ”, 用 于 衡量 RSA 
密码 体制 的 安全 性 ,该 密码 体制 在 SSL 握手 协议 的 软件 和 硬件 实现 中 广泛 使 用 。 

这 一 记录 非常 重要 ,因为 155 位 对 应 于 512 比特 ,而 这 正 是 (在 Internet 的 SSL 
实际 部 署 中 )RSA 密码 体制 实现 中 常用 的 规模 。 

RSA 一 155 =109417386415705274218097073220403576120\ 
037329454492059909138421314763499842889\ 
347847179972578912673324976257528997818\ 
33797076537244027146743531593354333897 

一 102639592829741105772054196573991675900N 
716567808038066803341933521790711307779 
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x* 106603488380168454820927220360012878679\ 
207958575989291522270608237193062808643 

整数 乘法 只 是 提供 了 一 个 单 向 函数 ,没有 任何 可 能 来 对 其 求 逆 。 现 在 不 知道 如 
何 使 得 整数 分 解 更 容易 一 些 。 有 一 些 代数 结构 是 基于 整数 n 的 分 解 ,其 中 某 些 计算 
在 不 知道 n 的 分 解 的 情况 下 是 困难 的 ,在 知道 的 分 解 的 情况 下 很 容易 ,如 有 限 商 环 
Z, ,如 果 nn 二 p…g, 则 同 构 于 Z, XZ,。 

例如 ,对 任何 元 素 xz, 计算 其 e 次 寡 是 容易 的 。 但 是 ,要 计算 e 根 , 看 起 来 需要 知 
道 满 足 ed=1 mod p(n) 的 整数 dd。 这 里 p(n) 是 Euler 函数 ,对 于 n= 二 p，g 的 特殊 情 
形 ,gp(n)= 二 (p 一 1)(g 一 1)。 因 此 ,ed 一 1 是 g(n) 的 倍数 , 故 等 价 于 nn 的 分 解 。 

1978 年 ,Rivest、Shamir 和 Adleman 定义 了 著名 的 RSA 问题 并 设计 了 首 个 公 和 钥 
密码 体制 RSA。 

RSA 问题 : 设 n 二 pg 是 两 个 相同 规模 的 大 素数 的 乘积 ,e 是 与 g(n) 互 素 的 
整数 。 

对 给 定 的 yEZ; ,计算 y 的 模 e 次 根 z, 即 满足 x 二 y modn 的 TEZ。 

设 n = Tlps , 则 Euler 函数 容易 计算 

pn)=nx Hl = 寺 | 

因此 ,利用 的 分 解 ( 陷 门 ),RSA 问题 很 容易 求解 。 但 是 没有 人 知道 是 否 必须 利用 
的 分 解 来 求解 RSA 问题 ,更 不 知道 如 何在 不 知道 的 分 解 的 情况 下 来 求解 RSA 
问题 。 

RSA 假设 : 对 任何 两 个 足够 大 的 素数 的 乘积 mn 二 pq,RSA 问题 是 难 解 的 (可 能 
与 分 解 n 一 样 困 难 )。 


2. 离散 对 数 与 Dif fieHellman 问题 

设 (G ,。) 表 示 一 个 阶 为 g 的 循环 群 ,其 中 g 是 素数 。 令 g 表示 G 的 一 个 生成 
元 , 即 G 二 二 g 记 。 与 离散 对 数 相关 的 困难 问题 ,以 简洁 的 形式 描述 如 下 : 

离散 对 数 问 题 (DL): 给 定 群 yYEG .计算 zEZ; .使 得 y 二 g”, 记 为 Xz 二 logey。 

计算 Diffie-Hellman 问题 CCDH) : 对 于 任意 的 整数 a,05E Zi ,给 定 二 g ,sg ,8 二 ， 
计算 gs”。 

判定 性 Diffie-Hellman 问题 (CDDH) : 对 于 任意 的 整数 a.,5,cE Zi ,给 定 二 5g,8"， 
8 ,8 一 ,判定 是 否 有 c 反 <cO mod g 成 立 。 

上 述 问 题 显然 是 以 从 强 到 弱 的 顺序 进行 排列 的 , 即 DL 三 CDH 三 DDH .A 三 B 表 
示 问 题 A 至 少 与 问题 B 一 样 困难 。 然 而 ,在 实际 中 ,没有 人 知道 如 何 求解 其 中 的 任 
何 一 个 问题 ,除非 可 以 破解 DL 问题 本 身 。 

而 且 , 这 些 问 题 都 是 随机 自 归 约 的 , 即 任何 实例 都 可 以 归 约 到 一 个 均匀 分 布 的 实 
例 。 例 如 ,对 于 一 个 给 定 的 元 素 >, 想 要 计算 它 对 于 基底 g 的 离散 对 数 x。 选 择 一 个 
随机 的 1:€ Z,, 计 算 < 二 ty。 那 么 = 就 是 群 中 均匀 分 布 的 元 素 , 而 根据 离散 对 数 
a 一 logsz 就 可 以 计算 出 += 二 a/t。 因 此 ,它们 只 有 平均 复杂 情形 ,如 果 能 够 在 多 项 式 
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时 间 内 求解 不 可 忽略 的 部 分 实例 ,那么 就 可 以 在 期 望 多 项 式 时 间 内 求解 任何 实例 。 

目前 ,求解 离散 对 数 问题 的 最 有 效 的 算法 依赖 于 其 基础 群 。 对 于 一 般 性 的 群 ( 没 
有 特定 的 代数 性 质 可 以 应 用 ) ,算法 复杂 度 是 g 的 平方 根 。 但 是 ,对 于 Zz 的 子 群 , 存 
在 一 个 更 好 的 方法 , 即 基 于 数 域 上 的 筛 法 ,正如 因子 分 解 问题 一 样 。 一 般 数 域 筛 法 的 
复杂 度 是 超 多 项 式 但 亚 指数 的 : 

CCexp((1. 923 十 o(1))(ln 加 )23(lnln 轧 )23 ) ) 

在 2001 年 4 月 ,该 算法 创造 了 最 近 的 记录 ,对 120 位 的 素数 p 计算 出 了 Z; 中 的 离散 
对 数 。 因 此 ,只 要 一 般 攻 击 不 能 应 用 ,而 且 其 生成 元 的 阶 至 少 为 160 比特 ,512 比特 
的 素数 仍然 是 足够 安全 的 。 

对 于 签名 方案 只 要 求 群 的 离散 对 数 问 题 困难 即 可 ,而 加 密 方案 需要 陷 门 ,因而 要 
求 群 中 的 某 些 DH 问题 也 是 难以 求解 的 。 


6.4.4 ”数字 签名 方案 和 公 钥 加 密 方案 的 概念 与 安全 性 定义 


本 节 主 要 形式 化 地 描述 数字 签名 方案 和 公 钥 加 密 方 案 的 定义 ,并 给 出 这 些 方案 
想 要 达到 的 确切 安全 目标 。 

数字 签名 是 用 于 电子 文档 的 签名 ,对 应 于 手写 签名 : 用 户 对 消息 mm 的 签名 是 一 
个 字符 串 , 它 依赖 于 消息 ,依赖 于 用 户 特定 的 公开 密 钥 和 私有 密 钥 ,还 可 能 依赖 于 
随机 数 , 任 何人 仅 使 用 用 户 的 公 钥 即 可 验证 签名 的 有 效 性 。 直 观 上 ,数字 签名 方案 
(简称 签名 方案 ) 的 安全 性 有 以 下 要 求 : 如 果 没 有 用 户 的 私 钥 , 则 不 可 能 伪造 用 户 的 
签名 。 给 出 签名 方案 的 确切 定义 ,以 及 对 签名 方案 的 可 能 攻击 。 

定义 6.4.1 一 个 签名 方案 S==(K,S, 久 由 以 下 3 个 算法 组 成 。 

(1) 密 钥 生成 算法 K: 输入 系统 参数 .输出 一 对 匹配 的 公 钥 和 私 钥 (pk ,sk)。 

(2) 签名 算法 5S: 输入 消息 mr 和 私 钥 sk ,输出 签名 c。 

(3) 验证 算法 Vy: 输入 签名 o、 消 息 mx 和 公 钥 pk ,输出 1( 表 示 签 名 有 效 ) 或 0( 表 
示 签 名 无 效 ) 。 

下 面 刻 画 一 些 实际 情形 中 可 能 出 现 的 安全 概念 。 一 方面 ,敌手 的 目标 有 各 种 : 

。 泄漏 签名 者 的 私 钥 , 这 是 最 严重 的 攻击 . 称 为 完全 破解 ; 

。 构造 有 效 的 算法 .能 够 以 高 的 概率 来 签署 消息 ,也 称 为 通用 伪造 ; 

。 提出 一 个 新 的 消息 一 一 签名 对 , 称 为 存在 性 伪造 。 对 应 的 安全 级 别称 为 存在 

性 非 伪 造 。 

在 许多 情形 下 .存在 性 伪造 攻击 并 不 是 危险 的 ,因为 其 输出 的 消息 可 能 是 没有 意 
义 的 。 然 而 ,存在 性 可 伪造 的 签名 方案 本 身 并 不 能 保证 签名 者 的 身份 。 例 如 , 它 不 能 
用 于 证 实 看 起 来 随机 的 元 素 , 如 密 钥 。 进 一 步 , 它 不 能 形式 地 保证 抗 抵赖 的 性 质 , 因 
为 任何 人 都 可 能 产生 一 个 消息 并 提供 有 效 的 签名 。 

另 一 方面 :敌手 可 以 使 用 不 同 的 手段 来 进行 伪造 。 人 们 主要 关注 针对 签名 方案 
的 两 种 特定 攻击 类 型 : 无 消息 攻击 和 已 知 消息 攻击 。 在 无 消息 攻击 中 ,敌手 只 知道 
签名 者 的 公 和 钥 。 在 已 知 消息 攻击 中 ,敌手 可 以 访问 有 效 的 消息 一 一 签名 对 列表 。 根 
据 该 列表 创建 的 方式 ,可 区 分 不 同 的 情况 ,其 中 最 强 的 定义 是 适应 性 选择 消息 攻击 ， 
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这 里 攻击 者 可 以 要 求 签 名 者 对 其 选择 的 任何 消息 进行 签名 ,以 适应 性 的 方式 : 敌手 
可 以 根据 前 面 的 回答 而 改变 其 查询 的 内 容 。 

如 果 签 名 方案 不 是 确定 性 的 ,一 个 消息 可 对 应 于 多 个 签名 。 于 是 上 述 一 些 定义 
就 变 得 有 歧义 了 。 首 先 , 对 于 已 知 消息 攻击 ,存在 性 伪造 就 变 成 伪造 一 个 在 攻击 过 程 
中 没有 得 到 的 新 的 消息 /签名 对 的 能 力 , 这 一 点 比较 微妙 。 实 际 上 采取 较 强 的 规则 ， 
要 求 敌 手 伪 造 一 个 消息 的 签名 ,而 该 消息 的 签名 没有 查询 过 。 在 宽松 的 规则 下 ,攻击 
者 只 要 对 给 定 消 息 输 出 第 二 个 签名 ,该 签名 不 同 于 以 前 得 到 的 对 同一 个 消息 的 签名 ， 
则 攻击 者 就 成 功 , 这 一 规则 称 为 延展 性 ,而 相应 的 安全 级 别称 为 非 延 展 性 。 同 样 地 ， 
在 选择 消息 攻击 下 ,敌手 可 以 对 同一 个 消息 进行 几 次 查询 ,每 一 个 新 的 回答 给 予 他 某 
些 信息 。 稍 微弱 一 点 儿 的 安全 模型 , 称 为 单 次 选择 消息 攻击 ,允许 敌手 对 每 个 消息 至 
多 进行 一 次 签名 查询 , 即 敌手 不 能 把 同一 个 消息 提交 两 次 进行 签名 查询 。 

在 设计 签名 方案 时 ,和 希望 在 适应 性 选择 消息 攻击 下 可 以 抵抗 存在 性 伪造 攻击 ,其 
至 达到 非 延 展 性 。 确 切 的 定义 中 如 下 。 

设 (K,S, 久 是 一 个 签名 方案 ;敌手 4 拥有 公 钥 ,可 以 适应 性 地 选择 ww 个 消息 并 进 
行 签名 查询 , 设 查 询 签 名 的 消息 为 wi.…,m,。 如 果 4 能 够 伪造 一 个 新 消息 
mm 针 {ma,… mw)) 的 签名 的 概率 是 可 忽略 的 , 即 

SuccsS( .0 = Pr [ (pk ,sk) < KO) ,Cns0) <— A (pk): VPk ,mo) = 1] 

是 可 忽略 的 , 则 称 该 签名 方案 在 适应 性 选择 消息 攻击 下 是 存在 性 非 伪 造 的 。 

注意 到 ,由 于 敌手 可 以 发 起 适应 性 选择 消息 攻击 ,签名 算法 是 可 以 得 到 的 ,没有 
任何 限制 ,因此 标记 为 4。 当然 ,敌手 的 回答 有 一 个 自然 的 限制 . 即 输 出 的 消 
息 签名 对 不 曾 从 签名 oracle Si 中 得 到 ( 非 延展 性 ) ,或 者 输出 的 消息 也 没有 查询 
过 (存在 性 非 伪造 )。 

公 钥 加 密 方案 的 目的 是 允许 任何 知道 Alice 公 钥 的 人 都 可 以 向 她 发 送 消息 ,使 
得 Alice 是 唯一 可 以 进行 恢复 的 人 。 

定义 6.4.2 一 个 公 钥 加 密 方 案 S$==(CK,2,Z 甩 由 以 下 3 个 算法 组 成 。 

(1) 密 钥 生成 算法 K: 给 定 输入 1*( 其 中 是 安全 参数 ) ,算法 大 产生 一 对 匹配 的 
公 钥 和 私 钥 (pk,sk)。 算 法 大 是 概率 性 的 。 

(2) 加 密 算法 E: 给 定 消息 mx 和 公 钥 pk ,2 产生 和 的 密 文 c。 该 算法 可 以 是 概率 
性 的 , 记 为 Gm;7) ,其 中 是 算法 2 的 随机 输入 。 

(3) 解密 算法 D: 给 定 密 文 c 和 私 钥 sk,Di(c) 返 回 明文 mm。 该 算法 是 确定 性 的 。 

对 于 公 钥 加 密 方案 来 说 ,敌手 的 目标 可 以 有 多 种 。 公 和 钥 加 密 方案 的 首 个 安全 概 
念 是 单 向 性 : 仅 使 用 公开 的 数据 .敌手 不 能 得 到 给 定 密 文 的 对 应 明文 。 更 确切 地 ,对 
任何 敌手 来 说 ,不 使 用 私 钥 而 对 函数 E 求 逆 的 成 功 概率 在 概率 空间 MXQ 上 以 及 敌 
手 的 内 部 随机 掷 币 是 可 忽略 的 ,其 中 AM 是 消息 空间 :2 是 加 密 方 案 使 用 的 随机 数 
的 空间 : 


Succs (ND = PrLCpR ,次 ) <— KO1*): ACPk ,Er (1;30)) = m] 
然而 ,许多 应 用 需要 对 加 密 方案 有 更 高 的 要 求 , 即 语义 安全 性 (IND) 中 ,也 称 为 不 可 
区 分 性 : 攻击 者 获知 明文 的 一 些 信息 ,如 针对 关键 查询 的 回答 “yes" 或 者 “no”。 在 这 
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一 安全 定义 中 ,敌手 选择 两 个 消息 ,对 其 中 之 一 进行 加 密 ,敌手 以 明显 大 于 一 半 的 概 

率 区 分 出 该 密 文 是 对 哪 一 个 消息 加 密 ,在 计算 上 是 不 可 行 的 ,形式 化 的 定义 如 下 : 
(pk ,sk) < 一 KKCL) ,Cos) < 一 44CR)， 

[. = Er mesr): nosm sc) 一 已 上 

是 可 忽略 的 ,其 中 敌手 可 看 作 一 个 两 阶段 的 攻击 者 4 一 (4 ,不 )。 

另 一 个 定义 是 非 延展 性 : 给 定 密 文 ,敌手 试图 产生 一 个 新 的 密 文 ,使 得 其 明文 是 
语义 相关 的 。 这 一 概念 比 上 面 的 语义 安全 性 更 强 , 但 是 在 大 多 数 有 趣 的 情况 下 (如 选 
择 密 文 攻击 ) 二 者 都 是 等 价 的 。 因 此 ,只 关注 单 向 性 和 语义 安全 性 。 

另 一 方面 ,攻击 者 可 以 进行 多 种 形式 的 攻击 ,根据 其 所 得 到 的 信息 : 由 于 考虑 的 
是 非 对称 加 密 ,攻击 者 可 以 自己 选择 并 加 密 任 何 明文 , 即 选择 明文 攻击 。 它 也 可 以 得 
到 其 他 的 信息 ,由 下 面 的 部 分 或 者 全 部 oracle 来 表示 : 

(1) 有 效 性 检验 oracle: 输入 密 文 c, 回 答 其 是 否 是 一 个 有 效 的 密 文 。 如 此 一 个 
弱 的 预言 ,已 经 被 用 于 攻击 一 些 著名 的 密码 方案 。 

(2) 明文 检验 oracle: 输入 一 对 Gm,c) ,其 输出 回答 了 cc 是 否 加 密 了 mmr。 这 一 攻 
击 称 为 明文 检验 攻击 。 

(3) 解密 oracle: 对 任何 密 文 ,输出 相应 的 明文 。 当 然 , 自 然 要 求 不 能 对 该 预言 
询问 挑战 密 文 。 

如 果 一 旦 挑战 密 文 给 定 , 对 这 些 oracle 的 访问 就 受 限 了 ,此 类 攻击 称 为 非 适 应 
选择 密 文 攻击 ,因为 查询 不 能 依赖 于 挑战 密 文 , 但 是 可 以 依赖 于 之 前 的 查询 。 ee 
如 果 在 挑战 密 文 给 定 后 ,对 这 些 oracle 的 访问 不 受 限 , 则 此 类 攻击 称 为 适应 性 的 攻 
击 。 这 一 区 别 在 选择 密 文 攻击 中 广泛 使 用 : 非 适应 性 选择 密 文 攻击 (CCA1) ,也 称 为 
午餐 攻击 ,以 及 适应 性 选择 密 文 攻击 (CCA2)。 后 者 当然 是 最 强 的 攻击 .将 在 本 章 中 
称 为 选择 密 文 攻击 。 


6.4.5 RSA-FDH 签名 方案 


1996 年 ,Bellare 和 Rogaway 提出 了 经 典 的 全 域 杂 次 (Full-Domain Hash) 签 名 
方法 论 ,并 结合 RSA 假设 ,提出 了 著名 的 RSA-FDH 签名 方案 ,该 方案 由 以 下 3 个 算 
法 组 成 。 

(1) 密 钥 生成 算法 : 输入 1* ,该 算法 随机 选择 两 个 &/2 比特 的 素数 p 和 9g, 计算 
7 一 户 。 dg; 随 机 选择 eE Zi 并 计算 d 使 得 ed 夺 1 mod g(n)。 

用 户 的 公 钥 为 (e.n), 私 钥 为 (d.n)。 

设 太 :10,1)* 一 Z;* 是 一 个 抗 碰撞 的 密码 杂凑 函数 。 

(2) 签名 算法 : 给 定 消息 mr 和 私 钥 (d,n) ,该 算法 计算 并 输出 签名 

o= H(mn)" modn 
(3) 验证 算法 : 给 定 签名 o、 消 息 mx 和 公 钥 (e.n) ,该 算法 检验 
o = HOmn) modn 
如 果 成 立 ,输出 1( 签 名 有 效 ) ,否则 输出 0 (签名 无 效 ) 。 
为 了 证 明 RSA-FDH 的 安全 性 : 先 给 出 RSA 问题 的 定量 描述 : 


adv4 = 2X Pr 


Bor 
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对 于 所 有 的 EN ,如 果 一 个 求 递 算法 工 可 以 在 1(k) 时 间 内 以 eCk) 的 成 功 概率 
破解 RSA 问题 , 则 称 算法 工 可 以 (1,e) 破 解 RSA 问题 。 
如 果 任 何 求 逆 算法 都 不 能 (+,e) 破 解 RSA 问题 , 则 称 RSA 是 (1,e) 安 全 的 。 
定理 6.4.1 假设 RSA 问题 是 (1 ,e’) 安 全 的 , 则 RSA-FDH 签名 方案 是 (t,s) 安 
全 的 ,满足 
t=t (ggse 1)* Ck) 
和 


了 [人 e， 
1 =— 
( qsig 十 站 


其 中 ,gis 表示 签名 询问 的 次 数 ,gs 表示 随机 预言 询问 的 次 数 。 当 gss 较 大 时 ,有 
ex exp(1) .gis * €’ 

证 明 : 假设 伪造 者 天 经 过 gis 次 签名 询问 和 gs 次 随机 预言 询问 ,可 以 (zt,e) 攻 破 
RSA-FDH 签名 方案 。 构 造 一 个 求 逆 算 法 工 可 以 (x',e ) 破 解 RSA 困难 问题 。 

假设 给 定 了 实例 y, 挑 战 者 要 找到 满足 x* 王 y mod n 的 x+。 注意 到 ,在 随机 预言 
模型 方法 论 中 ,伪造 者 大 不 能 自己 计算 Hash 值 ,只 能 通过 oracle 询问 来 得 到 消息 的 
杂 竣 值 。 

算法 工 设置 用 户 的 公 钥 为 (n,e), 以 此 来 运行 算法 五 攻击 者 下 需要 访问 签名 
oracle 和 随机 oracle, 了 I 需要 自己 回答 这 些 oracle。 为 了 简单 起 见 , 当 大 询问 一 个 消息 
的 签名 时 ,假定 其 已 经 对 该 消息 进行 了 相应 的 Hash 询问 。 如 果 没 有 , 工 自己 进行 
Hash 询问 。 工 使 用 一 个 计数 器 六 初始 化 为 0。 

算法 工 按照 以 下 方式 来 回答 伪造 者 大 对 消息 mm; 的 oracle 询问 : 

当 大 对 消息 m 进行 Hash oracle 询问 时 .ZT 把 计数 器 i 增加 1. 令 略 王 加: 并 随机 
选择 ri EZ 。I 依 概率 p 返回 hi; 二 rf mod n, 依 概率 1 一 p 返回 用 ;二 yrf mod n, 这 里 
pp 是 一 个 固定 的 概率 ,其 值 将 在 以 后 确定 。 

当 大 对 消息 mr 进行 签名 询问 时 , 它 已 经 对 m 进行 了 Hash 询问 ,于 是 m 等 于 某 
个 m;。 如 果 h; 二 rf mod n, 则 工 返回 x; 作为 签名 。 由 于 hm;) 二 hi 二 rf mod nn, 显 然 r 
就 是 m; 的 有 效 签名 。 否 则 ,算法 中 止 , 求 逆 算 法 失败 。 

最 终 ,算法 下 中 止 并 输出 一 个 伪造 (m,o)。 假 设 下 之 前 已 经 对 m 进行 了 Hash 
询问 。 如 果 没 有 , 工 自己 进行 Hash 询问 。 无 论 何 种 情况 ,存在 某 个 i 使 得 mx 二 mi;。 
那么 ,如 果 有 ;二 yrf mod 2: 则 有 c 一 好 一 yer mod n. 于 是 工 输 出 

a 
作为 y 的 道 。 由 于 y= 二 x mod n,x 即 为 所 求 。 否 则 ,算法 中 止 ,TIT 失败 。 

算法 工 能 够 回答 所 有 的 签名 询问 的 概率 至 少 为 p" ,然后 工 输出 y 的 逆 的 概率 
为 1 一 户 。 所 以 , 工 至 少 以 概率 cCz) 一 pas。(1 一 户 ) 输 出 > 的 逆 。 容易 看 出 , 当 p 取 
pmax 二 1 一 1/(gsg 十 1) 时 ,a(p) 取 最 大 值 ,并 且 


= 
(pmsx) 一 一 | 1 一 
Sh dsig qsig 十 1 


E 一 


从 而 ,有 
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Ca ”ds 
va 二 1 


而 当 gse 较 大 时 ,有 eexp(1) * gss *€ 。 

算法 工 的 运行 时 间 等 于 算法 三 的 运行 时 间 加 上 计算 有; 所 需要 的 时 间 , 于 是 得 到 
时 间 zt 的 公式 。 

注意 到 FDH 类 型 的 签名 方案 是 确定 性 的 签名 方案 ,每 一 个 消息 都 有 唯一 的 签 
名 ,所 以 在 其 安全 性 证 明 中 ,一 个 模拟 器 要 么 能 够 产生 消息 的 签名 ,要 么 就 不 能 产生 
其 签名 ,这 在 一 定 程度 上 限制 了 安全 性 归 约 。 这 一 发 现 推动 了 概率 签名 方法 的 设计 
思想 ,如 PSS 签名 方法 ,其 中 每 一 个 消息 都 有 多 个 签名 。 

在 可 证 明 安 全 的 签名 方案 研究 中 ,Pointcheval 等 人 提出 来 的 Folklore 引 理 是 对 
完善 随机 预言 模型 方法 论 下 签名 方案 的 归 约 证 明 的 一 个 重要 贡献 ,适用 于 许多 基于 
身份 识别 协议 的 签名 方案 。Folklore 引 理 的 基本 思想 是 oracle 重 放 攻 击 , 即 在 随机 
预言 模型 方法 论 的 归 约 证 明 中 , 重 放 多 项 式 个 不 同 的 随机 oracle( 相 当 于 为 敌手 提供 
多 个 模拟 环境 ) ,如 果 敌 手 能 以 不 可 忽略 的 概率 伪造 签名 ,就 可 以 求解 该 方案 的 基础 
困难 问题 ,如 离散 对 数 问题 。 该 方法 的 缺点 是 所 得 到 的 归 约 不 够 紧 。 


el(k) 一 »e’ (k) 


6.4.6 Cramer-Shoup 公 钥 加 密 方 案 


Cramer 和 Shoup" 于 1998 年 提出 了 第 一 个 比较 实际 的 标准 模型 下 可 证 明 安 全 
的 公 钥 加 密 方案 ,该 方案 的 困难 假设 是 判定 性 Diffie-Hellman 问题 。 由 于 其 安全 性 
归 约 是 在 标准 的 杂凑 函数 假设 ( 抗 碰 撞 ) 下 得 到 的 ,并 不 依赖 于 随机 预言 模型 ,所 以 受 
到 了 很 大 的 关注 。 

设 G 是 有 限 域 Z; 的 阶 为 gq 的 子 群 .p 和 9g 为 素数 ,上 且 glp 一 1,g1 和 gs 是 G 中 
两 个 随机 的 非 单 位 元 的 元 素 。 设 = 二 (xi,z2),y 二 (yi1, ys),z 二 (zi1,zs) 表 示 在 
1 一 g 一 1 之 间 的 数 对 ;g 二 (gi ,gz),u 王 (ui,ws) 表 示 G 中 的 元 素 对 ;r 是 1~g 一 1 之 间 
的 随机 数 , 记 ”一 gh gr 87 一 SS 。 假 设 是 合适 的 抗 碰撞 杂 竣 函数 。 

(1) 密 钥 生成 算法 : 随机 选取 gl ,gzEG,zi,zayvyvyzyzl ,XZ2 EZ 计算 

c=g”,， d=g’”, h 2 
用 户 Alice 的 私 钥 为 (zi ,zz ,Wi1,yz ,zi,zz), 公 和 钥 为 (gi ,gs ,c,d,h,H)。 
(2) 加 密 算法 : 为 了 发 送 消息 mEG, 选 择 一 个 随机 数 x, 令 


ui S1， zz gi， ee= hm, 


然后 计算 
a= H(uivsuzve), v= cd"™ 
密 文 就 是 四 元 组 (ui ,uz ,e,v)。 
(3) 解密 算法 : 要 解密 (ww ,wz,e,v),Alice 首先 计算 a 一 昌 (wi ,wuz,e), 然 后 利用 
她 的 私 钥 计算 w+ 并 验证 这 个 结果 是 否 等 于 v( 因 为 u**% 一 gt 一 dm)。 如 果 它 
不 等 于 v, 拒 绝 该 消息 ;如 果 通 过 这 个 检验 , 则 继续 进行 解密 : 把 e 除 以 u7, 因 为 w* 一 
g” 二 hh ,而 e 二 hmm, 所 以 这 就 是 明文 m。 
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对 于 Cramer-Shoup 加 密 方 案 , 如 果 存 在 一 个 适应 性 选择 密 文 攻击 的 敌手 4 能 
够 破坏 其 语义 安全 性 ,那么 就 可 以 构造 一 个 算法 5 来 求解 判定 性 Dffie-Hellman 问 
题 : 即 判 断 一 个 四 元 组 (gi1, gz,，w1,us) 是 否 满足 Diffie-Hellman 性 质 logsy 一 
logs, Uzo 

定理 6.4.2 ”如果 判 定性 Diffie-Hellman 问题 是 难 解 的 ,那么 Cramer-Shoup 公 
钥 加 密 方案 在 适应 性 选择 密 文 攻击 下 是 语义 安全 的 。 

证 明 : 假设 算法 5 给 定 了 一 个 四 元 组 (gi,gs,ti:us)。 首 先 6 随机 选取 x,y， 


令 


并 把 (c,d ,有 ) 以 及 g 王 (gi,gz) 作 为 公 钥 发 送 给 4。 

好 需要 回答 4 的 解密 询问 ,为 了 回答 对 (ui ,ws,e ,v) 的 询问 ,5 计算 a’==H(ui， 
we ) ,如 果 坟 和 天 ut , 则 拒绝 该 消息 ,否则 解密 w /wu 返回 给 A。 

当 敌 手 4 输出 两 个 明文 m。 和 mm, 用 于 区 分 测试 时 ,65 随机 选择 5E 10,1) ,设置 
密 文 为 一 (Cu ,uss,e,v) ,其 中 

e=umss v= ur”, 而 a = H(wui ,us se) 

敌手 A 需要 判断 y* 是 mo 还 是 mo 的 加 密 。 

如 果 (gi ,gz ,wa us) 满足 Diffie-Hellman 性 质 , 那 么 y* 就 是 ms 的 真实 加 密 , 其 
中 二 logs, tu 二 logs, uz 就 是 加 密 所 用 的 随机 数 , 所 以 敌手 4 将 以 明显 大 于 1/2 的 概 
率 正确 地 猜测 到 6 值 。 

如 果 (gi ,gz ,ta ,uz) 不 满足 Diffie-Hellman 性 质 . 那 么 A 所 看 到 的 信息 与 5 是 无 
关 的 ,所 以 他 只 能 有 1/2 的 机 会 猪 测 到 5 值 。 所 以 ,通过 使 用 不 同 的 +.y,z 值 多 次 运 
行 这 个 模拟 攻击 ,如果 A 大 多 数 情况 下 都 能 正确 地 猜测 到 5 值 ,5 就 确定 (gi ,gs ui， 
xz ) 满 足 Diffie-Hellman 性 质 。 下 面 两 个 引 理 完成 了 归 约 证 明 。 

引 理 6.4.1 如 果 算 法 5 的 输入 是 Diffie-Hellman 四 元 组 ,那么 敌手 的 视图 与 
比特 5 的 联合 分 布 与 实际 攻击 中 的 分 布 是 不 可 区 分 的 。 

证 明 : 设 (gi,gz ,ta :ws) 是 一 个 Diffie-Hellman 四 元 组 ,考虑 敌手 的 视图 与 比特 
b 的 联合 分 布 。 设 ui 一 gf ,xz 一 85。 

在 这 种 情况 下 ,显然 加 密 oracle 的 输出 分 布 是 正确 的 。 为 了 完成 证 明 ,需要 论证 
解密 oracle 的 分 布 也 是 正确 的 。 如 果 logs, uf = logs, us ; 则 称 (ui ,us,e ,v ) 是 一 个 有 
效 的 密 文 。 

注意 到 ,如 果 密 文 是 有 效 的 :而 在 一 时: 一双 :那么 太一 Ca (us)%, 因 此, 解 
密 oracle 输出 e/h” ,这 正 是 所 期 望 的 。 根 据 下 面 的 断言 , 引 理 6. 4. 1 即 得 证 。 

断言 : 对 于 密码 体制 的 实际 攻击 和 对 于 模拟 情况 下 的 攻击 ,除了 可 忽略 的 概率 
之 外 ,解密 oracle 都 拒绝 所 有 无 效 的 密 文 。 

下 面 证 明 断 言 。 根 据 敌 手 的 视图 .考虑 四 元 组 P=(zi,zz'yi'y)EZ3: 的 分 布 。 
设 w 一 logs gs 。 

根据 敌手 的 视图 ,P 是 由 下 面 的 两 个 超 平面 相交 的 平面 上 一 个 随机 点 : 

loga,c¢ = Zi 二 wrz 6,1) 
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logs, d = y1 + wy2 C02 
这 两 个 方程 容易 由 公 角 推出。 加 密 oracle 的 输出 并 没有 对 P 进一步 限制 ,因为 
logs,v = rzrl 十 rorzs 十 aryl 十 arroys (有 


假设 敌手 提交 了 一 个 无 效 的 密 文 (ui ,ws ,e ,v ) 给 解密 oracle, 其 中 logs ui 二 ri， 
logs 二 wrs 并 且 1 关 r。 解 密 oracle 将 会 拒绝 该 密 文 ,除非 P 恰好 位 于 式 (6. 4) 定 
义 的 超 平面 H 上 : 

logs, v = rz wrerz tariy ar2wys (6. 4) 

其 中 a 二 了 H(uf ,wl ,rw ’)。 注 意 到 方程 (6.1) ,方程 (6. 2) 和 方程 (6. 4) 是 线性 无 关 的 ， 
五 与 已 相交 于 一 条 直线 。 

对 于 第 一 次 提交 的 无 效 密 文 ,解密 oracle 将 以 1 一 1/g 的 概率 拒绝 该 密 文 , 对 于 
第 i 次 提交 的 无 效 密 文 ,解密 oracle 将 至 少 以 1 一 1/(g 一 i 十 1) 的 概率 拒绝 该 密 文 。 
因此 ,除了 可 忽略 的 概率 ,解密 oracle 将 拒绝 所 有 的 无 效 密 文 。 

引 理 6.4.2 ”如果 算法 5 的 输入 是 一 个 随机 的 四 元 组 ,那么 比特 4b 的 分 布 与 敌 
手 的 视图 是 无 关 的 。 

设 中 一 8 ,一 8 ,而 且 不 妨 假设 i 关 rs, 因 为 二 者 相等 的 概率 是 可 忽略 的 。 
根据 下 面 的 两 个 断言 , 引 理 6. 4. 2 得 证 。 

断言 1: 如 果 解 密 oracle 拒绝 所 有 的 无 效 密 文 ,那么 比特 5 的 分 布 与 敌手 的 视图 


是 无 关 的 。 
为 了 证 明 这 一 断言 ,考虑 点 Q 二 (zi ,xs)。 在 攻击 开始 时 ,这 是 位 于 公 钥 确定 的 
直线 


logs, h = z+ ws CH 5 
上 的 一 个 随机 点 。 如 果 解 密 oracle 只 对 有 效 的 密 文 (ui ,us ,e ,vw ) 进 行 解密 , 则 敌手 
得 到 的 只 是 线性 无 关 的 关系 rloga h=r xz 十 rwzs ,不 会 泄漏 Q 的 信息 。 

下 面 分 析 加 密 oracle 输出 的 Gu ,us,e,v)。 有 e==em ,其 中 = 二 uhi wu 。 考 虑 方程 

logu se 一 rizi 十 rzx2 《6 6 

显然 , 式 (6.5) 和 式 (6. 6) 是 线性 无 关 的 ,于 是 ,相对 于 以 及 除了 e 之 外 的 敌手 的 视图 ， 
e 是 均匀 分 布 的 。 换 言 之 ,e 是 一 个 完善 的 一 次 一 密 。 因 此 4 是 与 敌手 的 视图 无 关 的 。 

言 2: 除了 可 忽略 的 概率 ,解密 oracle 拒绝 所 有 的 无 效 密 文 。 

为 了 证 明 断 言 2, 与 引 理 6. 4. 1 一 样 , 在 敌手 视图 的 条 件 下 考虑 P= (zi,zxs， 
1，y2z) 的 分 布 。 根 据 敌 手 的 视图 ,这 是 位 于 由 超 平面 (1)、(2) 和 下 面 的 超 平面 交叉 的 
直线 上 的 一 个 随机 点 : 

logs, v= nr 二 wrrs tariyi arswys (6.7) 
方程 (6.7) 来 自 于 解密 oracle 的 输出 。 

假设 敌手 提交 了 一 个 无 效 密 文 (ui ,uz ,e ,v ) 关 (wu1,uz,e,v) ,其 中 

logaui=ri, logauzs—=r2, nr 
设 a 一 H(ui ,us,e’)。 
考虑 下 面 3 种 情况 。 
情况 1: (xi ,xs e') 一 (Caa yzzye)。 
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在 这 种 情况 下 ,杂凑 值 是 相同 的 ,但 是 v 关 v, 所 以 解密 oracle 当然 会 拒绝 它 。 
情况 2: (uf ,xi se’) 闫 (ui ,us ,Ee) ,a 天 ao。 
除非 点 P 卫 位 于 方程 (6. 4) 定 义 的 超 平面 态 ,解密 oracle 将 拒绝 。 但 是 , 方 
程 (6. 1) 方程 (6. 2) 方程 (6.7) 和 方程 (6.4) 是 线性 无 关 的 ,这 可 以 通过 下 面 式 子 进 
行 验 证 
L w 0 0 
0 0 和 w 


1 / / 
det vw (rz ri)(rs—ri)(a a) 0 
nn rorz Qarl awrs 


因此 ,HH 与 直线 L 相交 与 一 点 ,由 此 可 知 解密 oracle 拒绝 ,除了 可 忽略 的 概率 之 外 。 
情况 Xi ed = 
这 一 情况 发 生 的 概率 是 可 忽略 的 ,否则 与 杂凑 函数 的 抗 碰撞 性 质 矛 盾 。 


6.5 注 记 


本 章 重 点 介绍 了 信息 安全 研究 中 常用 的 计算 复杂 性 理论 的 基本 概念 .基本 原理 、 
典型 的 归 约 方法 和 模型 ,同时 介绍 了 计算 复杂 性 方法 与 技术 在 密码 算法 和 安全 协议 
设计 与 分 析 中 的 应 用 。 

计算 复杂 性 理论 是 一 门 发 展 相对 比较 成 熟 的 学 科 , 有 着 丰富 的 研究 成 果 和 广泛 
的 应 用 , 感 兴趣 的 读者 可 参阅 文献 [2]。 与 现代 密码 学 密切 相关 的 一 些 方法 和 技术 在 
文献 [10] 中 介绍 得 比较 详细 ,很 值得 一 读 。 关 于 计算 复杂 性 方法 和 技术 在 信息 安全 
领域 中 的 应 用 文献 很 多 ,如 文献 [1]、 文 献 [ 3 一 9], 还 可 以 参阅 文献 [6] 所 引用 的 一 些 
参考 文献 。 
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第 7 章 数理 统计 方法 与 技术 


数理 统计 学 是 研究 大 量 随机 现象 规律 性 的 一 门 数学 学 科 。 它 以 概率 论 为 基础 ， 
从 实际 观测 资料 出 发 ,研究 如 何 用 有 效 的 方法 去 收集 和 利用 数据 资料 ,对 随机 变量 的 
分 布 函数 .数字 特征 等 进行 估计 、 分 析 和 推断 。 数 理 统计 在 信息 安全 领域 有 着 广泛 的 
应 用 ,如 密码 学 .数字 水 印 及 网 络 人 侵 检 测 等 。 本 章 的 重点 是 介绍 一 些 在 信息 安全 研 
究 中 常用 的 数理 统计 方法 和 技术 ,内 容 包括 数理 统计 的 基本 概念 .典型 的 估计 方法 、 
假设 检验 及 典型 的 应 用 实例 。 


7.1 基本 概念 


本 节 主 要 介绍 数理 统计 中 需要 用 到 的 一 些 基本 概念 ,包括 总 体 与 样本 .统计 量 与 
抽样 分 布 ,另外 还 有 一 些 常 用 统计 量 的 分 布 。 


7.1.1 总 体 与 样本 


在 数理 统计 中 , 称 研 究 对 象 的 全 体 为 总 体 。 组 成 总 体 的 每 一 个 元 素 称 为 个 体 。 
例如 ,如 果 想 考察 某 学 校 学 生 的 体重 情况 , 则 该 学 校 学 生体 重 的 全 体 称 为 一 个 总 体 ， 
而 每 一 个 学 生 的 体重 是 一 个 个 体 。 由 总 体 的 部 分 个 体 构 成 的 集合 称 为 总 体 的 一 个 样 
本 。 在 现实 生活 中 ,一般 都 是 通过 对 样本 进行 观察 来 推断 总 体 的 性 质 。 总 体 和 样本 
是 数理 统计 中 的 两 个 基本 概念 。 

从 数学 角度 来 讲 , 任 何 一 个 总 体 ,都 可 以 用 一 个 随机 变量 X 来 描述 , 它 的 取 值 在 
客观 上 有 一 定 的 分 布 。 对 总 体 的 研究 就 是 对 随机 变量 X 的 概率 分 布 的 研究 。X 的 
分 布 函数 和 数字 特征 分 别称 为 总 体 的 分 布 函数 和 数字 特征 。 

定义 7.1.1 样本 是 由 个 随机 变量 X; 组 成 的 nn 维 随 机 变量 (Xi ,X;,…,X,), 其 
中 X; 表示 由 总 体 XX 取出 的 个 体 。 每 次 抽取 的 数据 是 维 随 机 变量 的 一 个 值 ,可 用 
(zyT2 ,XT ) 表 示 , 它 称 为 样本 (Xi ,Xs,….X,) 的 一 个 观测 值 ,简称 样本 观测 值 。 

定义 7.1.2 .对手 样本 (巨著 瑟瑟 相 王 独 立 且 每 
个 Xi( 一 1,2,…,72) 与 总 体 X 有 相同 的 概率 分 布 , 则 称 (Xi,Xs ,… ,XX, ) 为 来 自 总 体 
X 的 容量 为 2 的 简单 随机 样本 。 如 无 特别 说 明 .数理 统计 所 研究 的 样本 一 般 都 是 指 
简单 随机 样本 。 


7.1.2 统计 量 与 抽样 分 布 


通过 抽样 观察 ,人 们 可 以 推断 总 体 的 一 些 性 质 。 但 在 实际 应 用 中 ,往往 并 不 是 利 
用 样本 本 身 的 观测 数据 进行 推断 ,而 是 针对 不 同 的 问题 构造 样本 的 某 种 函数 ,然后 利 
用 这 些 函 数 对 总 体 的 性 质 进行 推断 。 数 理 统 计 称 这 种 函数 为 统计 量 。 


也 4 
攻 信息 安全 中 的 数学 方法 与 技术 


定义 7.1.3 设 (Xi,XX;,…,X,) 为 总 体 XX 的 一 个 样本 , 若 g(Xi ,XX ,… ,XX,) 是 
(Xi ,Xs，…,X) 的 一 个 函数 ,并 且 g 中 不 含有 任何 未 知 参数 , 则 称 g (Xi ,XX ,… ,XX,) 
是 一 个 统计 量 。 

由 于 样本 (Xi ,X:,…,X,) 是 7 维 随机 变量 ,所 以 统计 量 g(CXi ,Xs,,…,X,) 也 是 
随机 变量 。 

定义 7.1.4 设 (zi,zrs,…,z) 是 样本 (Xi ,XX,,… ,XX,) 的 观察 值 , 则 称 g(x ,zs， 
0) 是 5CX ,XXX。) 的 观察 值 。 

统计 量 是 随机 变量 , 它 具 有 确定 的 概率 分 布 ,其 分 布 称 为 抽样 分 布 。 若 总 体 的 分 
布 函数 是 已 知 的 , 则 抽样 分 布 是 确定 的 。 一 般 情况 下 ,抽样 分 布 是 很 难 精确 计算 出 来 
的 。 只 有 在 极 少 数 情况 下 ,如 总 体 分 布 为 正 态 分 布下 , 某 些 抽样 分 布 可 能 会 有 精确 结 
果 。 下 面 将 介绍 一 些 常用 统计 量 的 分 布 。 


7.1.3 常用 统计 量 分 布 


1. 分布 
定理 7.1.1 设 Xi,X*:,…,X, 是 来 自 总 体 N(0,1) 的 样本 , 则 称 随机 变量 
x = Xf 二 XE 十 … 十 X? 
服从 自由 度 为 n 的 Xx 分 布 , 记 为 Xx* 一 X*(n)。 


2. t 分 布 
定理 7.1.2 设 X 一 NO,1),Y 一 闪 (Ca) ,并且 X.Y 独立 , 则 称 随机 变量 
je 
VY/n 
服从 自由 度 为 nn 的 + 分布。 记 为 1 一 t(n)。 
3. 下 分 布 
定理 7.1.3 设 久 一 Gm),Y~X (mn), 并 且 XY 独立 , 则 称 随机 变量 
X/m 
"= Y/n 


服从 自由 度 为 (m,n) 的 下 分 布 , 记 为 FF 一 Flm,n)。 其 中 称 为 第 一 自由 度 ,n 称 为 
第 二 自由 度 。 显 然 ,如 果 X 一 Fom sm , 则 支 一 Fasm) 。 


7.2 典型 的 参数 估计 方法 


参数 估计 是 数理 统计 中 非常 重要 的 一 类 问题 。 在 实际 问题 中 , 当 总 体 分 布 部 分 
未 知 或 完全 未 知 时 ,人 们 往往 会 通过 抽取 样本 来 估计 总 体 未 知 参数 的 值 或 关于 总 体 
的 某 些 数字 特征 ,这 被 称 为 参数 估计 问题 。 参 数 估计 分 为 点 估计 和 区 间 估 计 两 种 。 
下 面 将 主要 介绍 3 种 典型 的 点 估计 方法 ( 矩 估计 、 极 大 似 然 估计 和 贝 叶 斯 估计 ) 及 区 
间 估 计 。 
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7.2.1 和 矩 估计 法 


当 总 体 X 为 连续 型 随机 变量 , 设 其 概率 密度 为 f(x;01 ,0,,…,0.); 当 总 体 和 XX 为 
离散 型 随机 变量 时 ,P{X=z)} 一 pzi0 .0 ,9)。 其 中 四 .0 ,…,0 为 未 知 参 数 。 

现 从 总 体 X 中 抽取 样本 Xi ,X:,…,X。o， 由 辛 钦 大 数 定律 知 , 对 任意 se 字 0, 有 
limP( Tox EW.)= 1 
该 定理 可 以 推广 为 ,对 任意 s 之 0, 有 


1 YR BC 


n i=1 


nn 


limP( 


< 可 = 1， /i= 1,2,.…,k 


定义 7.2.1 当 nn 较 大 时 , E(X') = Sy 二 1,2,…,k, 其 中 ECX) 与 X 
i=1 

的 分 布 有 关 , 因 此 是 参数 0 .0,,… ,0 的 函数 ,从 而 可 以 形成 一 个 包含 & 个 未 知 参数 
01,0;,… ,0; 的 联 立 方程 组 。 该 方程 组 的 解 0. ,90,,… ,9% 分 别 作 为 参数 0,,… ,0 的 估 
计量 , 称 为 矩 估 计量 。 该 方法 称 为 矩 估计 法 。 

例 7.2.1 设 总 体 X 服从 正 态 分 布 NCnp, 叶 ), 现 从 总 体 X 中 抽取 样本 Xi， 
Xs ,…,X, 。 试 求 未 知 参数 u 和 o? 的 矩 估计 。 

由 于 已 (X) 一 p ,ECX2) 一 DCX) 十 [ECX)]? 一 吧 十 2, 因此 根据 矩 估 计 法 有 


n 


解 以 上 方程 组 得 


7.2.2 极 大 似 然 估 计 法 


设 总 体 X 的 概率 分 布 为 PCz;b .0,,…,0.) .其 中 901.0,,… ,0 为 未 知 参数 。 

定义 7.2.2 现 从 总 体 X 中 抽取 样本 Xi , 义 ;,…,X,， zi1,zxs，… ,zs 是 相应 于 样 
本 Xi ,Xs,…，X,。 的 一 个 样本 值 , 则 事件 {Xi 一 zi,Xs 一 za,，…，X, 一 zo)} 发 生 概率 为 
JTPezi0,,0;,…,0.)。 在 这 里 将 这 个 联合 分 布 记 为 工 (0, ,2 ,…,6) ,其 概率 随 


9:(i 二 1,2,…,k) 的 取 值 而 发 生变 化 , 称 为 样本 的 似 然 函数 。 
定义 7.2.3 极 大 似 然 估计 法 就 是 固定 样本 观察 值 zi ,zs,，…,x,, 在 0; (i 二 


1,2,…,k) 的 取 值 的 可 能 范围 内 挑选 9. .9。,… ,0 使 得 了 (0 02) 一 maxL (0， 
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0,,… ,0 ) 。 这 样 得 到 的 站 ,0 ,~ Oh 与 样本 值 TXT1T29""" Tn 有 关 , 记 为 Ox vy 


zz) , 它 被 称 为 参数 9 ,0;,… ,9% 的 极 大 似 然 估计 值 。 相 应 的 统计 量 9( Xi , Xs,…: 
X,) 被 称 为 参数 0 ,9,,… ,0 的 极 大 似 然 估 计量 。 


若 想 求解 6Czi ,xs，,… ,x,) ,很 多 情况 下 可 先 对 似 然 函 数 取 对 数 In 二 (0 ,0 ,… 
9) ,然后 对 各 参数 01 ,0 ,… ,9 分 别 求 偏 导数 ,并 令 它 们 为 0, 即 


aln L(0, ,0, ,… ,0;) 
0 


3、 过 1,2,.…,k 


通过 求解 方程 组 可 以 得 出 0 ,0 0 将 0， ,0, 0 表达 式 中 的 19 2， 97Tn 均 
换 为 Xi,X。，…，,X, 即 得 极 大 似 然 估计 。 

例 7.2.2 设 总 体 X 服从 正 态 分 布 NCnp,o2),. 现 从 总 体 X 中 抽取 样本 Xi， 
Xe。 ,…，,X,。 试 求 未 知 参 数 wu 和 的 极 大 似 然 估计 。 

因为 总 体 XX 服从 正 态 分 布 N (ys,o), 则 它 的 概率 密度 函数 为 


p(x) = > exp[ azz 1°] 
V2rc 


设 zl,zz，…zn 为 样本 Xi ,XX ,…,X, 的 一 组 观测 值 , 则 似 然 函 数 为 


2 
__ .1 一 1 


一 中 exp [一 2 2*]= (2ra2 ) Sexp 
o 


2 
i=1 Zn 20 


因此 


a nn nn 2 1 2 
lnL(p.0 ) 2 ln(2r) 2 lnc 2 2 4) 
对 lnL(zso) 分 别 求 关 于 wa 的 偏 导 数 , 并 令 其 为 0 
3 ee 四 
ln L(y,.0) 1 六 Cx, 


) 0 
DA oi ” 
aln L(y.0°) n 和 -二 
(Zi D2 0 
Da2 2o2 ”2ct 之 7 


解 这 方程 组 得 jo? 的 极 大 似 然 估 计 为 


7.2.3 贝 叶 斯 估计 


前 面 所 说 的 矩 估 计 或 极 大 似 然 估 计 ,都 有 一 个 共同 的 特点 : 即 在 抽取 样本 之 前 ， 
对 未 知 参数 9 没有 任何 了 解 , 所 有 信息 均 来 自 样 本 。 贝 叶 斯 估计 的 基本 思想 是 ,在 进 
行 抽样 之 前 ,已 对 参数 0 有 一 定 的 知识 , 称 为 先 验 知识 。 这 种 先 验 知识 用 9 的 某 种 概 
率 分 布 来 表达 , 称 为 9 的“ 先 验 分 布 ”, 令 h(9) 表 示 9 的 密度 函数 。 

设 总 体 的 概率 密度 函数 为 fFCz:0)( 若 总 体 为 离散 型 的 , 称 为 概率 函数 ), 现 从 总 
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体 X 中 抽取 样本 Xi , 义 ,,…,X,， 则 在 给 定 9 值 的 情况 下 样本 的 密度 函数 为 f (Xi， 
0)… 了 (XX,,0) 。 而 (6,X; , 义 ; ,… ,XX,) 的 联合 密度 为 
nC FCX; ,0) SKR2 ,0)… f CX, ,0) 
(Xi ,XXXo) 的 边缘 密度 为 


p(X1,X,,*…,X,) 一 ac /eX, »0)f (Xs ,0 f(X, .0)d0 


因此 ,在 给 定 样 本 Xi , 义 ,,….,X, 的 条 件 下 .9 的 条 件 密度 为 

EO) Krys Koais Ka) = hOFCRLIO FR Of CR OD /PRY Nas sR) 

以 上 密度 函数 包含 了 9 的 先 验 知识 与 样本 信息 , 称 为 9 的 “后 验 分 布 "。 在 后 验 
分 布 的 基础 上 ,可 以 对 参数 进行 估计 。 如 对 点 估计 来 说 ,常用 的 办 法 是 取 后 验 分 布 的 
均值 作为 9 的 估计 。 

例 7.2.3 设 总 体 X 服从 正 态 分 布 N(0.1) ,其 中 0 的 先 验 分 布 为 NCpn oz)(Cp 和 
0? 为 已 知 ) 。 现 从 总 体 X 中 抽取 样本 Xi , 义 。,…,X,, 求 9 的 贝 叶 斯 估计 。 

因为 总 体 X 服从 正 态 分 布 N (0,1) 及 9 的 先 验 分 布 为 N (yu,o)., 则 有 


h(0) = (Varo) exp [一 到 (9 一/ ] 
fli = (Dexp [圭一 2] 
因此 ,9 的 后 验 密度 为 
hC0 | Xi Xa ses Xa) = ( Vara) exp[— E00°]/1 
其 中 工 是 一 个 与 0 无 关 而 只 与 jo? 、Xi、X。、…*、X, 有 关 的 数 。 


赤 (b j22 一 去 2 (XI 一 0 过 (9 一 2 十 J 
i=1 


其 中 ， t=(nX+p/o) /nt1/o) 
六 =1/ (nt+1/0’) 
在 这 里 ,J 与 9 无关 ,因此 ， 


1 
ee = — (0—z)? 
Ag | Xi, Xs bh hexp | 有 1 ] 
其 中 ,也 二 Te 与 9 无关, 因为 
上 六 (6 | Xi, Xs,-…, Xd = 1 


所 以 五 =CV2f 力 ,0 的 后 验 分 布 为 正 态 分 布 NG 好) ,因此 0 的 贝 叶 斯 估计 为 


Py n ee 1/c2 
人 


7.2.4 区 间 估 计 


前 面 所 介绍 的 3 种 估计 方法 都 是 关于 参数 的 点 估计 方法 , 即 用 一 个 数 去 估计 未 
知 参数 。 参 数 的 点 估计 是 具有 确定 形式 的 估计 量 , 可 以 根据 样本 的 观察 值 计 算出 参 


8 
让 信息 安全 中 的 数学 方法 与 技术 


数 的 确定 估计 值 。 但 由 于 点 估计 量 是 一 个 随机 变量 ,因而 取 参 数 真 值 的 概率 较 低 。 
与 此 同时 ,点 估计 量 没有 涉及 与 真 值 之 间 误 差 的 界限 问题 。 这 就 使 得 点 估计 方法 具 
有 一 定 的 局 限 性 。 为 解决 这 些 问 题 , 本 节 将 讨论 参数 的 区 间 估 计 方 法 。 直 观 地 讲 , 区 
间 估 计 就 是 用 一 个 区 间 去 估计 未 知 参 数 ,把 参 数值 估计 在 两 个 界限 之 间 。 

定义 7.2.4 设 总 体 X 的 分 布 函 数 为 下 (z,09) ,9 是 未 知 参 数 。(Xi ,Xs,…,X,) 
为 总 体 X 的 样本 。 若 存在 两 个 统计 量 凡 (Xi ,X。 ,…,X,) 与 9.(Xi,Xs,…,X,) ,使 得 
对 一 切 样本 , 均 有 包 一 入 ,并 且 

PO 一 9 一 和) 一 1 一 xc，0 一 ac 一 1 

则 称 区 间 (6 ,6 ) 为 参数 9 的 置信 区 间 , 称 概率 1 一 a 为 置信 区 间 (6 ,0 ) 的 置信 度 ,而 


和 .0 分 别称 为 置信 下 限 和 置信 上 限 。 
1 一 a 表明 置信 区 间 的 可 靠 性 ,1 一 a 越 接 近 于 1 就 表示 区 间 的 可 靠 性 越 高 。 在 固 


定 a 的 情况 下 ,8 一 抽 反映 置信 区 间 的 精度 .9 一 和 越 小 ,置信 区 间 的 精度 就 越 大 。 
下 面 将 讨论 3 种 正 态 总 体 参 数 的 置信 区 间 。 设 总 体 X 服从 正 态 分 布 NCp,ai)， 
Xi ,Xs,…,X， 是 来 自 总 体 X 的 样本 。 
1. 已 知 方差 o 二 8、 均值 参数 4 的 置信 区 间 
令 天 二 (Xi 十 Xs 十 … 十 X,)/n, 构 造 
jE dah 


oo 


它 服从 NC(0,1) 分 布 。 对 给 定 的 置信 和 度 1 一 a, 查 正 态 分 位 表 得 ys , 即 


P< 1 
因此 
XK—ps p+ ge 
al SE 符合 1 一 “ 
所 以 ,x 的 置信 和 度 为 1 一 a 的 置信 区 间 为 
a | 
( A 


例 7.2.4 设 某 种 电子 管 寿命 服从 N (yy.40?) 分 布 。 现 从 大 批 电 子 管 中 抽取 
100 只 ,算得 平均 寿命 为 1000h, 求 整 批 电 子 管 平均 寿命 的 95% 的 置信 和 区间。 
由 于 已 知 方差 ,所 以 电子 管 平均 寿命 置信 区 间 为 
7 】 
Gi 
在 这 里 ,二 1000,n 二 100 ,a 二 0.05,06 一 40。 查 正 态 分 布 分 位 数 表 得 /好 一 1. 96。 
所 以 整 批 电 子 管 平均 寿命 的 95% 的 置信 区 间 为 
加 40 40 
(oo 196xX 1000 十 1.96X | 
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即 (992. 16 ,1007. 84) 。 
2， 未 知 方差 ,均值 参数 的 置信 区 间 


令 束 一 (Xi 十 Xz 十 … 十 XX,)/n;S, 一 , 构造 


它 服 从 自由 度 为 zw 一 1 的 + 分布。 对 给 定 的 置信 度 1 一 a, 自 由 度 一 1, 查 + 分 布 分 位 
表 得 到 zs , 即 


去 一 
P(-# < “< 二 =- 1 一 “ 


因此 


区 S 
PIX—is ~ < Xi+is |=1— 
( i | 有 


所 以 ,w 的 置信 度 为 1 一 x 的 置信 区 间 为 
二 
(x 生生 ,+ 本] 
例 7.2.5 某 车 间 生 产 轴 套 ,其 直径 X 服从 正 态 分 布 。 从 某 日 产品 中 随机 抽查 
6 个, 测 得 直径 为 (单位 : mm) : 
14.6 15.1 14.9 14.8 15.2 15.1 
试 求 直径 均值 的 95%% 的 置信 区 间 。 
由 于 方差 未 知 ,所 以 直径 均值 置信 区 间 为 


(xX-—# Sa 让 | 


NA Vn 


元 一 (14.6 十 15.1 十 14.9 十 14.8 十 15.2 十 15.1)/6 一 14.95 

S?: = [(14.6 一 14.95)2 十 (15.1 一 14.95)2 十 (14.9 一 14.95)2 
十 (14.8 一 14.95)? 十 (15.2 一 14.95)? 十 (15.1 一 14.95)?]/5 
(0.35? 十 0.15? 十 0.05? 十 0.15? 十 0.25? 十 0.15?)/5 

一 0.051 
S, = V0.051 ~ 0.2258 
7 一 6,a 一 0.05, 查 上 分 布 分 位 数 表 得 tuoss(5) 一 2.571。 
所 以 直径 均值 置信 区 间 为 

(4 95 一 2.571 X 


0. 2258 


,14.95 十 2.571 | 


即 (14.713,15. 187)。 
3. 未 知 均值 方差 参数 o? 的 置信 区 间 
令 X 一 (XI 十 X: 十 … 十 X。)/a ,构造 


0 
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Sx, — XX)? 
ee! 


2 i 
Ys 
go 


它 服从 自由 度 为 x 一 1 的 XY (mn 一) 分布 。 对 给 定 的 置信 和 度 1 一 a, 查 自由 度 为 一 1 的 
入 (2 一 1) 分 布 上 侧 分 位 数 表 得 准 和 准 , 即 


二 这 让 
Xis = 二 <=Xs|=1—a 


P F 


因此 


二 < 人 < 
xX 入 Xs 


P 


po. pe | 
i=1 i 


所 以 ,a? 的 置信 度 为 1 一 a 的 置信 区 间 为 


医 —X)? Sx, 一 | 
i=1 i=1 


Xx Xs 


例 7.2.6 在 例 7.2.5 中 ,. 试 求 直 径 方 差 o 的 95% 的 置信 区 间 。 
因为 均值 未 知 ,所 以 o? 的 置信 区 间 为 


bes 2 
i=1 i=1 


Xs Xs 


查 自由 度 为 5 的 Xx* 分布 表 得 台 s (5) 二 0. 831, 难 (5) 二 12. 833。 因 此 直径 方差 0 的 
95%% 的 置信 区 间 为 
人 义 0.051 5 义 0. | 
12. 833 0. 831 
即 (0.01987.0. 30686)。 


7.3 假设 检验 


假设 检验 问题 是 数理 统计 的 另 一 类 重要 问题 。 为 了 推断 总 体 的 某 些 性 质 , 假 设 
检验 首先 提出 一 些 关于 总 体 的 假设 ,然后 根据 样本 对 所 提出 的 假设 做 出 判断 , 即 是 接 
受 假设 还 是 拒绝 假设 。 假 设 检验 分 为 两 大 类 : 一 类 是 参数 检验 ,该 类 检验 是 只 知 总 
体 分 布 的 类 型 ,但 不 知 其 参数 的 情况 : 另 一 类 是 非 参 数 检验 ,该 类 检验 是 在 总 体 分 布 
未 知 的 情况 下 ,对 总 体 的 性 质 进行 假设 检验 。 


7.3.1 基本 原理 
假设 检验 的 基本 思想 是 ,首先 提出 关于 总 体 性 质 的 一 些 假设 . 称 为 原 假设 。 然 后 
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在 原 假设 的 条 件 下 导出 结论 , 若 结论 发 生 的 概率 很 大 , 则 认为 原 假设 成 立 , 反 之 若 概 
率 非 常 小 , 则 否定 原 假设 。 该 思想 源 于 实践 中 被 广泛 采用 的 一 条 原则 , 即 小 概率 事件 
在 一 次 观察 中 是 不 会 出 现 的 。 关 于 小 概率 事件 发 生 的 概率 称 之 为 显著 性 水 平 ,用 
a 来 表示 , 它 表 示 了 假设 检验 的 严格 程度 。a 越 小 , 则 否定 原 假设 的 说 服 力 越 强 。 通 
常情 况 下 ,a 会 取 0.05、0.01 或 0.1。 

基于 以 上 基本 思想 ,对 于 参数 假设 检验 来 说 ,基本 步骤 可 以 归纳 为 以 下 几 步 。 

(1) 根据 问题 的 要 求 提出 原 假设 互 。( 或 零 假设 ) 及 备 择 假设 Hi ,在 这 里 备 择 假 
设 Hi 通常 是 原 假设 Ho 的 反面 。 

(2) 根据 原 假 设 Ho 确定 合适 的 检验 统计 量 及 分 布 。 

(3) 确定 显著 性 水 平 a。 

(4) 确定 拒绝 域 的 形式 ,按照 P{ 拒 绝 Ho| Ho 为 真 )==a 计算 拒绝 域 。 

(5) 根据 样本 观察 值 计算 统计 量 的 具体 值 , 若 落 入 拒绝 域 中 , 则 在 显著 性 水 平 
a 条件 下 拒绝 原 假设 互 。, 否 则 就 接受 原 假 设 H。。 

由 于 正 态 总 体 在 现实 生活 中 分 布 广泛 ,下 面 将 重点 介绍 一 下 关于 正 态 总 体 的 一 
些 参 数 假设 检验 方法 。 


7.3.2 单个 正 态 总 体 的 假设 检验 


1. 已 知 方差 的 单个 正 态 总 体 的 均值 检验 

设 Xi ,Xs ,…,X, 是 从 正 态 总 体 N Cp,3) 中 抽取 的 样本 ,其 中 53 是 已 知 常数 , 欲 
假设 检验 Ho :py 二 yo， Hi :py 了 jo。 

在 这 里 可 用 义 二 (Xi 十 Xs 十 … 十 X,)/n 来 构造 统计 量 进行 假设 检验 ,在 HH。 成 


二 Wn 
立时 ,DU 二 全 一人 Vn 服从 标准 正 态 分 布 .因此 U 可 作为 检验 的 统计 量 。 在 给 定 显著 性 


水 平 a 的 情况 下 , 查 正 态 分 布 表 计算 ys ,使 
下 人 下 
从 而 检验 的 拒绝 域 为 
W= UI> a} 
由 样本 Xi ,Xs,…,X, 的 观测 值 计算 U 的 观测 值 . 若 |x| 二 ys ; 则 拒绝 原 假设 
Ho ,否则 接受 原 假设 Ho。。 
这 种 检验 法 被 称 为 y 检验 法 。 
例 7.3.1 已 知 某 种 零件 的 尺寸 服从 正 态 分 布 ,方差 二 1. 21, 对 一 批 这 样 零件 
检查 6 件 , 尺 寸 数据 分 别 为 (单位 : mm): 
32.56 .29..66 31,.64 -30.00 31.87 31:05 
当 显 著 性 水 平 a 一 0.05 时 ,能 否认 为 此 批零 件 的 平均 尺寸 为 32. 50mm? 
设 总 体 X 表示 该 种 零件 的 尺寸 : 则 X 服从 正 态 分 布 N (yy,1.21)。 问 题 可 以 归 
纳 为 对 假设 
Hesg= 2.50 Hi p32.50 
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作假 设 检 验 。 由 于 方差 已 知 , 故 可 用 检验 法 。 首 先 计算 
元 二 (32. 56 十 29.66 十 31.64 十 30.00 十 31.87 十 31.05)/6 一 31. 13 
然后 可 以 计算 统计 量 U 的 观测 值 
po 31.13 一 32.5 
呆 去 Vn 二 页 V6 ~ 一 3.05 
对 给 定 的 显著 性 水 平 < 一 0. 05, 查 正 态 分 布 表 得 临界 值 ys 一 po.oxs 一 1. 96。 因 为 
op 三 3.05 二 1.96, 所 以 拒绝 原 假 设 昌 。 即 认为 此 批零 件 的 平均 尺寸 不 是 
32. 50mm。 


2. 方差 未 知 时 单个 正 态 总 体 的 均值 检验 

设 Xi ,X，,…,X, 是 从 正 态 总 体 N (yu,53) 中 抽取 的 样本 ,其 中 0 是 未 知 参数 , 欲 
假设 检验 Ho :wp 一 Ap ， :pro 。 

因为 是 未 知 参数 ,所 以 不 能 利用 前 面 的 4 检验 法 。 现 选择 以 下 统计 量 


X 一 
= 


其 中 5, 二 /CX 一 XR)* 。 当 HH, 成 立时 ,本 服从 自由 度 为 一 1 的 ， 分布。 


在 给 定 显著 性 水 平 a 的 情况 下 , 查 1 分 布 表 计算 ts ,使 
P{|ITI>#}=& 


py 


从 而 检验 的 拒绝 域 为 
w= {IlTI>s 
由 样本 Xi ,XX;，,…,X, 的 观测 值 计 算 工 的 观测 值 1, 若 1t| 二 ts , 则 拒绝 原 假设 
HH。 ,否则 接受 原 假 设 Ho。。 
这 种 检验 法 被 称 为 + 检验 法 。 
例 7.3.2 有 容量 为 50 而 方差 未 知 的 正 态 总 体 的 样本 。 若 = 二 2.7, 且 


Ca 一 元 ): 一 113, 当 显著 性 水 平 二 0.05 时 , 试 检 验 假设 Ho :1 二 3。 
因为 正 态 总 体 X 的 方差 未 知 ,所 以 要 使 用 1 检验 法 ,由 所 得 数据 可 算出 


113 
50 一 1 


1.519 


Tk 2.7 一 3 - 
Vn 19 V50 ~—1.397 


对 给 定 的 显著 性 水 平一 0.05, 查 1 分布 的 分 位 数 表 得 临界 值 is (n 一 1) 一 to.02s (49) 寺 
2.01。 因 为 |t| 二 1.397 二 2.01, 所 以 接受 原 假设 Ho :1 二 3。 

3. 单个 正 态 总 体 的 方差 检验 

设 Xi1,X;,…,X, 是 从 正 态 总 体 NCx:o) 中 抽取 的 样本 ,和 欲 假设 检验 互 。:o 一 
o%, Hoo02 

若 有 H。 成立, 则 
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, DY x, — HY: 
x = = 页 
服从 Xx* (n 一 1) 分 布 。 在 给 定 显 著 性 水 平 a 的 情况 下 , 查 X*(n 一 1) 分 布 的 上 侧 分 位 数 
表 得 到 临界 值 习 -和 准 ,使 
P(X <= 多 和 P(xY>> 音 )= 乞 
检验 的 拒绝 域 为 
W = {x 二 x 或 x” 二 xX} 

由 样本 Xi ,Xs ,…,X, 的 观测 值 计算 x 值 ,车 一 x-s 或 Xx 记 癌 , 则 拒绝 原 假设 
HH, ,否则 接受 原 假 设 H。。 

这 种 检验 法 被 称 为 x? 检验 法 。 

例 7.3.3 已 知 某 车 间 生 产 金 属 丝 ,质量 向 来 比较 稳定 ,折断 力 方差 中 一 64。 今 
从 一 批 产 品 中 抽出 10 根 做 折断 力 试验 ,结果 分 别 为 (单位 : kg) : 

578 572 570 568 572 570 572- 596 584, 570 

则 在 显著 性 水 平 a 二 0.05 下 ,是 否 可 以 认为 该 批 金属 丝 的 折断 力 方差 也 是 64? 

设 总 体 X 表示 该 车 间 生 产 的 金属 丝 折断 力 , 则 X 服从 正 态 分 布 N (yu,0?) ,在 这 
里 需要 检验 

Ho:o 一 64 Hi:o 天 64 
使 用 x 检验 法 。 由 样本 数据 可 以 得 到 
有 《578: 十 “十 5702710 575.2 


23 Cy = 他 (578=575.2) 直 sm (570=57552 681.6 


因而 得 到 


10. 65 


Sl 
四 
中 


在 显著 性 水 平 a 一 0.05, 自 由 度 为 n 一 1 一 9 的 情况 下 , 查 X 分 布 的 分 位 数 表 得 到 
入 二 2.7, 痊 二 19.023。 因 为 如 3 二 X 二 准 , 所 以 接受 原 假设 H。。 


7.3.3 两 个 正 态 总 体 的 假设 检验 


1. 已 知 方差 时 的 两 个 正 态 总 体 的 均值 检验 
设 总 体 X 一 NGma ,o) ,7Y 一 NGCua ,G3) ,方差 与 53 为 已 知 常数 , 且 久 与 Y 相互 
独立 , 令 
Ho: pa =p Hi:p Fp 
现 独立 地 分 别 从 两 个 总 体 X 和 Y 中 抽取 样本 Xi, Xs,…,X, 和 YYys,…， 
bE 记 
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四 二 3 
X= XY FoY, 
Si; 一 


2 ， 1 a 
a Rs ai Y) 
当 H。 成 立时 ,统计 量 
i 

of 


m n 


服从 标准 正 态 分 布 NC(0,1) 
ug， 使 得 


在 给 定 显著 性 水 平 a 的 情况 下 , 查 正 态 分 布 表 计算 
P{|IU|>y#3}= a 
从 而 检验 的 拒绝 域 为 


由 样本 Xi ,XX ,… ,XX, 的 观测 值 计 算 U 的 观测 值 p, 若 lx| 二 js, 则 拒绝 原 假设 
HH ,否则 接受 原 假设 HH。。 
2. 方差 未 知 但 相等 时 两 个 正 态 总 体 的 均值 检验 


= {IU | .3} 


Ho: Ai 一 £3 Hi 


设 总 体 X 一 NGCma ,aoi),Y 一 NGC ,G3),0? 与 有 3 均 为 未 知 参数 但 已 知 of 二 03, 令 
: Aa 天 ma 

现 独立 地 分 别 从 两 个 总 体 X 和 YY 中 抽取 样本 Xi,X，:， 

Yis 记 


“,X, 和 Yi, Ys, 
I 要 过 


-_1 Noy 了 
可 二 
当 Ho 成 立时 ,统计 量 
TT X—Y 
(m— 1)Si++ (nO— 1)Sz 


[mn(mtn— 2) 

m+n 
服从 自由 度 为 (2 十 2 一 2) 的 上 上 分布。 在 给 定 显著 性 水 平 a 的 情况 下 , 查 上 分布 表 
计算 ts ,使 


P{|IT|>18}=a 
从 而 检验 的 拒绝 域 为 


= 人 Ts 
由 样本 Xi,X。 
H。 ,否则 接 


,XX, 的 观测 值 计 算 工 的 观测 值 t+, 若 | | 二 ts 
受 原 假设 H。。 


s , 则 拒绝 原 假设 
例 7.3.4 设 有 甲乙 两 台 机 床 ,加 工 同 样 产 品 ,从 这 两 台 机 床 加 工 的 产品 中 随 
机 抽取 若干 产品 , 测 得 产品 直径 如 下 


。( 单 位 : mm) 
甲 : 20.5 19.8 19.7 20.4 20.1 20.0 19.6 19.9 
220.5 19.8 19.4 20;8 


19, 2 


第 7 章 ， 数 理 统计 方法 与 技术 188 


已 知 方差 相同 , 试 比 较 在 显著 性 水 平 a 二 0.05 下 ,甲乙 两 台 机 床 的 加 工 精度 有 
无 显著 差异 ? 

设 总 体 X 表示 甲 机 床 加 工 的 产品 直径 ,总 体 了 表示 乙 机 床 加 工 的 产品 直径 , 则 
X 一 Nua ,aoi),Y 一 NG , 呈 ) ,0 与 3 均 为 未 知 参数 但 of 二 5%, 在 这 里 需要 检验 

Ho: p=p Hi:p Ap 

使 用 t+ 检验 法 。 由 样本 数据 得 

工 二 (20.5 十 19.8 十 19.7 十 20.4 十 20.1 十 20.0 十 19.6 十 19.9)/8 王 20 

yy 二 (19.7 十 20.8 十 20.5 十 19.8 十 19.4 十 20.6 十 19.2)/7 = 20 


mt Dz 元 (20.5 一 20)? 十 … 十 (19.9 一 20)? 一 0.72 


《站 一 LIDSE > 5)? (19.7 一 20)? 十 … 十 (19.2 一 20)? 一 2.38 


Es Jmn(m+n—2) _ 
和. 0 
(m—1)S? + (nm—1)S: mn 


在 显著 性 水 平 a 二 0.05, 自 由 度 为 (m 十 n 一 2) 二 8 十 7 一 2 三 13 下 , 查 上 分 位 表 得 临界 值 
培 二 to.025 《13) 二 2.16。 因 为 |t| 二 ts , 故 接 受 原 假设 , 即 甲乙 两 台 机 床 的 加 工 精度 无 
显著 差异 。 

3. 两 个 正 态 总 体 的 方差 检验 

设 总 体 X 一 NGCa ,中 ),Y 一 NGC ,o), 且 相互 独立 , 令 


2 2 2 2 
Ho:ot =o0 Hi:ol 天 


现 独 立地 分 别 从 两 个 总 体 X 和 YY 中 抽取 样本 Xi ,X2，…:X。 和 YY, 记 


es _y? 
Si 2 X) 
,3 a S ess 可 
53 re 2 
当 Ho 成 立时 ,统计 量 
_S 
et 


服从 自由 度 为 m 一 1 和 一 1 的 下 分 布 。 在 给 定 显著 性 水 平 a 的 情况 下 , 查 下 分 布 表 
计算 天 -和 和 Fs ,使 


P(F < Fs)= 5 和 PCFE>E) 一 将 
检验 的 拒绝 域 为 
W= {F< 或 下 二 FE》 


由 样本 Xi ,X,，,…,X, 的 观测 值 计算 下 值 , 若 下 一 F， ;或 > F; , 则 拒绝 原 假设 
Ho ,否则 接受 原 假设 H。。 
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不 难看 出 ,1/F 仍然 服从 下 分 布 。 在 实际 应 用 中 ,首先 计算 出 Sf 和 S; ,然后 按 
大 小 分 别 记 为 S 和 S ,再 按 下 一 S /VS 算出 下 的 观测 值 , 它 只 需 与 临界 值 Fs (mm 
一 1,nz 一 1) 进行 比较 ,mn 和 ns 分别 是 对 应 于 分 子 和 分 母 的 样本 容量 。 若 
FFs Cm 一 1,ns 一 1), 则 拒绝 原 假 设 及 , ,否则 接受 原 假 设 有 H,。 

例 7.3.5 设 甲乙 两 车 间 生 产 的 电灯 泡 的 寿命 都 服从 正 态 分 布 ,从 甲 、 乙 车 间 
分 别 抽取 50 个 .60 个 样品 , 测 得 其 寿命 数据 如 下 。 

甲 车 间 : m= 二 50 个 , 工 一 1282h,S: 一 80h 

乙 车 间 : ”一 60 个 ,y 一 1208h,S* 一 94h 

试 求 这 两 个 车 间 生 产 的 灯泡 寿命 的 方差 是 否 相 同 ? 

设 总 体 X 表示 甲 车 间 生 产 的 电灯 泡 的 寿命 ,总 体 了 表示 乙 车 间 生 产 的 电灯 泡 的 
寿命 , 则 X 一 NGC:oi),Y 一 NG ,G3) ,在 这 里 需要 检验 

Ho :of = Hi:of 2 
使 用 1 检验 法 。 由 样本 数据 得 
S 大 一 94， Sh 80， nn 60， nz 50 


所 以 
S _ 94? 
三 半生 人 
四 S 外 80? 8 


对 于 显著 性 水 平 a 二 0.05, 自 由 度 为 mw 一 1 二 59 和 ns 一 1 二 49, 查 下 分 布 分 位 数 表 得 
下 s (59,49) 二 1.8。 因 为 fF 一 Fs (59,49), 所 以 接受 原 假 设 。 


7.3.4 X 拟 合 检 验 


上 面 介 绍 的 几 种 检验 都 是 在 总 体 分 布 形 式 已 知 的 情况 下 进行 的 。 在 实际 问题 
中 ,常常 会 出 现 总 体 分 布 未 知 , 需 要 根据 样本 来 检验 关于 分 布 的 假设 。 这 里 介绍 一 种 
比较 常用 的 x 拟 合 检验 法 。 
设 总 体 X 分 布 未 知 , 令 
Ho: 总 体 X 分 布 函 数 为 下 (CX) 
Hi: 总 体 X 分 布 函 数 不 是 下 CX) 
将 结果 总 体 2 分 为 k 个 互 不 相 容 的 事件 Ai,As,…,Ai, 其 中 >)A; = 0Q, izj， 
i,j 二 1,2,…,k。 在 假设 H。 下 ,计算 p; 二 P(A;) ,i 一 1,2,…,k。 现 进行 n 次 独立 的 
试验 , 设 事 件 A; 出 现 的 频数 为 f;, 则 频率 为 fi;/n。 若 Ho 为 真 ,fi/n 与 p; 的 差异 应 
该 不 大 。 
现 构 造 统 计量 


2 
2 CAC— npry 
0 和 = np 


当 充分 大 时 ,车 H。 为 真 ,Xx 近似 地 服从 自由 度 为 一 7 一 1 的 x 分布 ,其 中 7+ 是 
被 估计 的 参数 个 数 。 
由 样本 Xi ,Xs,…,X, 的 观测 值 计算 x 值 ,车 在 显著 性 水 平 a 的 情况 下 X 宇 X*。 
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(一 7 一 1), 则 拒绝 H。 ,否则 就 接受 HH。。 

以 上 的 检验 法 也 称 为 皮尔 逊 X* 拟 合 检验 ,该 检验 法 要 求 n 要 足够 大 ,以 及 np; 不 
太 小 。 根 据 实践 的 经 验 ,要 求 样 本 容量 n 宇 50, 以 及 每 一 个 np; 都 在 5 以 上 ,否则 适 
当地 合并 A; ,以 满足 这 个 要 求 。 

例 7.3.6 从 随机 数 表 抽取 200 个 观察 数据 ,经 整理 列 人 表 7.1 中 。 


表 7.1 例 7.3.6 用 表 


频数 广 23 21 26 17 15 15 25 14 25 19 


试 在 显著 性 水 平 为 a 二 0.05 的 情况 下 ,检验 它 是 否 服从 [0,1] 上 的 均匀 分 布 ? 
在 这 里 需要 假设 检验 
Ho: 随机 数 服从 [0,1] 上 的 均匀 分 布 
Hi : 随机 数 不 服 从 [0,1] 上 的 均匀 分 布 
当 理 , 为 真 时 ,pi; 二 0.1,npi 二 0.1X200 二 20。 因 此 


10 _ 
i Cf aby 
a 一 7 9.6 


由 从 分 布 表 查 得 次 (9) 一 16.92。 因 为 9. 6 一 16.96, 所 以 接受 H。。 


7.4 应 用 举例 


数理 统计 知识 在 信息 安全 领域 有 着 广泛 而 深入 的 应 用 ,如 密码 学 .数字 水 印 及 网 
络 人 侵 检测 等 。 限 于 篇 幅 , 这 里 只 简要 介绍 两 个 关于 假设 检验 在 密码 检测 中 的 应 用 
实例 。 


7.4.1 频数 检测 


一 个 安全 的 密码 算法 可 看 作 是 一 个 随机 数 发 生 器 , 它 所 产生 的 序列 应 该 满足 各 
种 随机 特性 , 即 能 够 通过 各 项 随机 性 检测 。 频 数 检测 是 最 基本 的 随机 性 检测 方法 ,用 
来 检测 一 个 序列 中 0 和 1 的 个 数 是 否 接 近 。 在 进行 随机 性 检测 时 ,应 该 首先 选择 进 
行 该 项 检测 ,只 有 该 项 检测 通过 后 再 选择 继续 进行 其 他 检测 。 

根据 抛 币 模型 ,理想 的 随机 序列 的 产生 可 看 成 是 投掷 硬币 的 结果 , 即 根据 硬币 
正 、 反 面 标记 为 “0? 或 “1”, 对 于 每 一 次 投掷 结果 ,“0? 或 “1? 出 现 的 概率 均 为 1/2 ,并 
且 , 投 掷 结果 之 间 相 互 独立 。 因 此 :一 个 随机 的 二 元 序列 的 每 一 位 都 应 该 服从 二 点 分 
布 , 并 且 0 和 1 出现 的 概率 都 为 1/2。 令 aet…e(eE{10:1),1 过 i 委 四 表示 待 检 序 列 ， 
构造 变量 X; 一 2e; 一 1(1 志 i 和 nn)。 记 S, 一 各 十 Xz 十 … 十 X, 一 2(@i 十 @z 十 … 十 6,) 一 n, 根 
据 中 心 极限 定理 ,有 


BR > ER 
a/ DOR) 


— N(0,1) 
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E(X;) =— 1Xx1/2+1x1/2=0 
D(X;Y ECXSY 本 1 
所 以 ,有 
SS, 1 GR 
z) 一 去 xz| 三 和 
im? 这 | ye 4 
对 于 非 负数 <, 有 
lL 
sl 委 z=|= 2y(Cz) 一 1 
因此 ,统计 值 V 一 -3 一 后 十 Xs 十 …… 十 X。 应 服从 标准 正 态 分 布 N(0,1)。 
本 本 


下 面 介绍 一 下 具体 的 检测 过 程 。 

给 定 sese(eelo,li ,1 过 i 三) , 若 想 检验 该 序列 是 否 由 理想 的 随机 数 发 生 

器 产生 ( 即 为 原 假设 H。), 则 首先 构造 统计 值 V 一 - 祈 

nn 

然后 在 给 定 显著 性 水 平 a 的 情况 下 , 查 正 态 分 布 表 计算 zs ,使 
P{IV| 二 x4}=a 


o 


从 而 检验 的 拒绝 域 为 
WW= {IVI> zy} 
根据 样本 观察 值 计算 统计 量 的 具体 值 V, 若 落 入 拒绝 域 中 , 则 在 显著 性 水 平 a 条 
件 下 拒绝 原 假设 态 ,, 即 认为 被 测序 列 不 随机 ;否则 就 接受 原 假设 Ho。。 


7.4.2 分 组 密码 明 密 文 独立 性 检测 


分 组 密码 明 密 文 独立 性 检测 主要 是 检测 密 文 是 否 有 不 依赖 于 明文 统计 特性 的 性 
质 , 即 对 于 任意 给 定 的 明文 ,在 分 组 密码 的 作用 下 得 到 密 文 , 则 明文 与 其 对 应 的 密 文 
的 距离 应 是 随机 的 。 即 每 一 位 密 文 与 其 对 应 的 明文 比特 相等 的 概率 为 1/2。 

设 待 测 分 组 密码 算法 的 分 组 长 度 为 n 比特 ,随机 生成 下 个 明文 分 组 P,Pi， 
P,,… ,Pr-1 和 1 个 密 钥 。 在 ECB 模式 下 使 用 该 密 钥 逐个 加 密 明 文 分 组 ,得 到 下 个 密 
文 分 组 Co ,C1 ,Cz ，… ,Cr-1。 记 录 相 应 的 明 密 文 距离 D; 一 W(P;@Ci),0<i<F 一 1， 
W 表示 计算 汉 明 重量 (比特 串 中 1 的 个 数 ) 的 函数 。 统 计 Di (0 三 i 二 FF 一 1) 为 w(0 三 
wn) 的 分 组 数 , 记 为 五 。。 

对 于 一 个 好 的 分 组 密码 , 态 , 应 该 符合 二 项 分 布 B(n,1/2)。 在 这 里 使 用 皮尔 还 
x 拟 合 检验 在 判断 五 。 是否 符合 二 项 分 布 BCz,1/2)。 因 为 玉 , 的 期 望 数 E。 二 CY xX 


F/2" ,所 以 需要 计算 光 一 >) 《于 去 全 ,将 x 计算 结果 与 显著 性 水 平 为 e、 自 由 度 


为 n 的 x 阅 值 相 比较 ,车 x 二 xX。(7) , 则 认为 Hs 符合 二 项 分 布 B(n,1/2), 即 待 测 分 
组 密码 算法 满足 明 密 文 独立 性 特性 ,否则 ,认为 待 测 分 组 密码 算法 不 满足 明 密 文 独立 
性 特性 。 

因为 皮尔 逊 X 拟 合 检 验 要 求 已。 不 能 太 小 ,所 以 在 实际 检测 中 ,常常 需要 将 E。 
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进行 合并 , 设 k 是 实际 的 分 组 数 , 则 将 最 后 计算 的 x 值 与 显著 性 水 平 为 a、 自 由 度 为 
k 一 1 的 的 阔 值 相 比 较 , 若 好 一 从 (RE 一 1) , 则 认为 日, 符合 二 项 分 布 BGn,1/2)。 


7.5 : 注 记 


本 章 重 点 介绍 了 一 些 在 信息 安全 研究 中 常用 的 数理 统计 知识 和 方法 ,同时 用 典 
型 实例 阐述 了 数理 统计 在 信息 安全 领域 中 的 应 用 。 本 章 所 介绍 的 数理 统计 知识 及 例 
子 主要 来 自 于 文献 [1] 一 [6]。 其 中 关于 7.1. 3 小 节 中 常用 统计 量 分 布 的 详细 证 明 过 
程 可 以 参看 文献 L[1]。 若 读者 想 了 解 一 下 除 本 章 以 外 的 更 深入 的 数理 统计 知识 ,可 以 
仔细 研读 文献 L[5]`[6]。 另 外 ,本 章 所 举 的 应 用 实例 来 自 于 文献 L[7]、[8] 。 
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第 8 章 随机 过 程 方法 与 技术 


随机 过 程 是 对 一 连 串 随机 事件 间 动 态 关 系 的 定量 描述 。 它 是 自然 科学 、 工 程 科 
学 .社会 科学 各 领域 研究 随机 现象 的 有 力 工 具 。 本 章 主 要 介绍 随机 过 程 的 概念 和 统 
计 描 述 方法 , 几 个 从 实际 问题 抽象 出 的 著名 随机 过 程 及 其 统计 特性 ,并 以 马尔 柯 夫 密 
码 为 例 介 绍 随机 过 程 方法 与 技术 在 密码 学 中 的 应 用 。 


8.1 随机 过 程 的 概念 和 记号 


随机 过 程 被 认为 是 概率 论 的 * 动 力学 "部 分 ,意思 是 说 , 它 的 研究 对 象 是 随时 间 演 
变 的 随机 现象 。 用 数学 语言 来 说 ,就 是 事物 变化 的 过 程 不 能 用 一 个 (或 几 个 ) 时 间 4 
的 确定 函数 加 以 描述 。 或 者 从 另 一 个 角度 来 看 ,对 事物 变化 的 全 过 程 进 行 一 次 观察 
得 到 的 结果 是 一 个 时 间 1 的 函数 ,但 对 同一 事物 的 变化 过 程 独立 地 重复 进行 多 次 观 
察 所 得 的 结果 是 不 相同 的 ,而 且 每 次 观察 之 前 不 能 预知 试验 结果 。 现 在 来 看 一 个 具 
体例 子 。 

例 8. 1.1( 热 噪声 问题 ) 考虑 电子 网 络 中 的 一 个 电阻 ,由 于 电阻 中 自由 电子 的 
随机 运动 ,导致 电 阻 两 端的 电压 有 一 个 随机 的 起 伏 , 这 一 起 伏 的 电压 就 称 为 热 噪声 。 
在 无 线 电 通信 技术 中 ,接收 机 在 接收 信号 时 ,机 内 的 热 噪声 要 对 信号 产生 持续 的 二 
扰 , 为 消除 这 种 干扰 ,就 必须 考虑 热 噪声 随时 间 变化 的 过 程 。 

为 了 考察 热 噪声 随时 间 变化 的 过 程 , 通 ,wy 
过 菜 种 装 轩 对 电阻 丙 端的 热电 声 电压 进 和 长。 个 八 、 - 
时 间 的 测量 ,并 把 结果 自动 记录 下 来 ,这 作为 ” “ ’ 
一 次 试验 结果 , 便 得 到 一 个 电压 -时 间 函 数 | 
( 即 电压 关于 时 间 /的 函数 )u (2), 如 图 8.1 “9 ! 

所 示 , 这 个 电压 -时 间 函 数 是 不 可 能 预先 确 知 。 ol 人 和 和 
的 ,只 有 通过 测量 才能 得 到 。 如 在 相同 条 件 。 “|! 
下 独立 地 再 进行 一 次 测量 , 则 得 到 的 记录 是 


1 
1 
(CD | 
不 同 的 。 事 实 上 ,由 于 热 噪 动 的 随机 性 ,在 相 ER 
同 条 件 每 次 测量 都 将 产生 不 同 的 电压 -时 间 “1 


函数 (图 8. 1 可 以 设想 为 在 相同 条 件 下 同时 
对 无 限 多 个 “相同 ”电阻 作 测 量 的 结果 )。 

如 此 ,也 可 以 把 对 电阻 热 噪声 电压 的 变化 过 程 的 观察 看 作 一 个 随机 试验 ,只 是 这 
里 ,每 次 试验 需 在 某 个 时 间 范 围 内 持续 进行 ,而 相应 的 试验 结果 则 是 一 个 时 间 + 的 函 
数 。 随 机 试验 可 以 用 其 所 有 可 能 的 试验 结果 所 构成 的 样本 空间 来 描述 。 同 样 可 以 用 电 
阻 所 可 能 产生 的 一 族 电压 -时 间 函 数 . 即 用 {uw (z)} 来 描述 其 热 噪声 电压 的 变化 过 程 。 


8.1 电压 -时 间 特 性 
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现 以 上 述 例子 为 背景 ,引入 随机 过 程 的 概念 。 

设 巨 是 随机 试验 ,S 二 {ee} 是 它 的 样本 空间 。 如 果 对 于 每 一 个 e€ES, 总 可 以 依 某 
种 规则 确定 一 参数 为 上 的 实 值 函 数 

X(e,t), 1ET 
与 之 对 应 ,于 是 , 当 e 取 遍 S 时 .就 得 到 定义 在 荆 上 的 一 族 函 数 , 称 此 族 参 数 t 的 函数 
为 随机 过 程 , 而 族 中 每 一 个 函数 称 为 这 个 随机 过 程 的 样本 函数 。T 是 参数 1 的 变化 
范围 , 称 为 参数 集 。T 一 般 表 示 时 间 集 合 。 

依照 上 述说 法 , 热 噪声 电压 的 变化 过 程 是 一 随机 过 程 ,一 次 观察 得 到 的 电压 -时 
间 函 数 就 是 这 个 随机 过 程 的 一 个 样本 函数 。 

随机 过 程 也 可 以 看 成 是 两 个 变量 e 和 + 上 的 函数 :X(e,1),eES,1:ET。 

XC(e,t) 的 含义 是 : 

(1) 对 于 一 个 特定 的 试验 结果 e;€ S,X(e;,t) 就 是 对 应 于 6; 的 样本 函数 , 简 记 为 
Xi(?), 它 可 以 理解 为 随机 过 程 的 一 次 实现 。 

(2) 对 于 每 一 个 固定 的 参数 t; ET,X(e,tj) 是 一 个 定义 在 S 上 的 随机 变量 (参见 
图 8.1)。 工程 上 有 时 把 X(e,i) 称 为 随机 过 程 在 t==t; 时 的 状态 。 而 X(e,tj) 二 z+ 说 
成 是 z 一 占 时 ,随机 过 程 处 于 状态 +。 对 于 一 切 eES,tE T,X(e,t) 所 能 取 的 一 切 值 
的 集合 , 称 为 随机 过 程 的 状态 空间 。 

依照 (2) 的 含义 ,可 给 出 随机 过 程 另 一 种 常用 的 描述 方式 。 

随机 过 程 是 (定义 在 S 上 的 ) 依 赖 于 参数 zET 的 一 族 随机 变量 ,并 记 
尖 { 三 (ae 天 人 了) 

在 以 后 的 叙述 中 ,为 简便 起 见 , 省 去 随机 过 程 记号 中 的 e. 以 {X(1) .1ET} 或 {X,， 
tET}) 或 X(),tET 表示 随机 过 程 。 存 上下文 不 致 混淆 的 情形 下 ,一 般 略 去 记 法 中 
的 参数 集 工 。 

随机 过 程 的 不 同 描述 方式 本 质 上 是 一 致 的 。 在 理论 分 析 时 往往 以 随机 变量 族 的 
描述 方式 ,而 在 实际 测量 和 处 理 中 往往 采用 样本 函数 族 的 描述 方式 ,这 两 种 描述 方式 
在 理论 和 实际 两 方面 是 互 为 补充 的 。 

例 8.1.2 设 一 个 电话 交换 人 台 迟 早 会 接 到 用 户 的 呼叫 ,以 X(4) 表 示 时 间 间 隔 
[0, 四 内 交换 台 接 到 的 呼叫 次 数 , 它 是 一 个 随机 变量 , 且 对 于 不 同 的 t 三 0,X(7) 是 不 同 
的 随机 变量 。 于 是 ,{X(t) ,t 三 0} 是 一 随机 过 程 。 

例 8.1.3 考虑 抛掷 一 颗 仍 子 的 实验 。 

(1) 设 X, 是 第 ) 次 Cz 二 1) 抛掷 的 点 数 : 对 于 一 1.2.… 的 不 同 值 ,X, 是 不 同 的 
随机 变量 ,因而 {X,,z 三 1} 构 成 一 随机 过 程 , 称 为 伯 努 利 过 程 或 伯 努 利 随机 序列 。 

(2) 设 X, 是 前 ”次 抛掷 中 出 现 的 最 大 点 数 ,{X, .xz 三 1}) 也 是 一 随机 过 程 。 

随机 过 程 可 依 其 在 任 一 时 刻 的 状态 是 连续 型 随机 变量 或 离散 型 随机 变量 而 分 成 
连续 型 随机 过 程 或 离散 型 随机 过 程 。 热 噪声 电压 是 连续 型 随机 过 程 , 例 8. 1.2 和 
例 8.1.3 是 离散 型 随机 过 程 。 

随机 过 程 还 可 依 时 间 ( 人 参数) 是 连续 或 离散 进行 分 类 。 当 时 间 集 工 是 有 限 或 无 
限 区 间 时 , 称 {XCD),zETT) 为 连续 参数 随机 过 程 。 如 果 了 T 是 离散 集合 ,如 T 一 {0,1， 


诠 2 
Es 信息 安全 中 的 数学 方法 与 技术 


2,…}) 或 10, 土 1 , 士 2,…}), 则 称 {X(z),tET) 为 离散 参数 随机 过 程 或 随机 序列 ,此 时 
常 记 成 {X, ,n= 二 0,1,2,…}) 等 。 

最 后 指出 ,参数 1 虽然 通常 解释 为 时 间 , 但 它 也 可 以 表示 其 他 的 量 , 诸 如 序号 、 距 
离 等 。 例 如 ,在 例 8.1.3 中 :假定 每 隔 一 个 单位 时 间 抛 掷 山 子 一 次 ,那么 第 次 抛掷 
时 货 子 出 现 的 点 数 X,。 就 相当 于 z 一 刀 时 仍 子 出 现 的 点 数 。 


8.2 随机 过 程 的 统计 描述 


随机 过 程 在 任 一 时 刻 的 状态 是 随机 变量 ,由 此 可 以 利用 随机 变量 的 统计 描述 方 
法 来 描述 随机 过 程 的 统计 特性 。 


8.2.1 随机 过 程 的 分 布 函数 族 


给 定 随机 过 程 {XC),zET}。 对 于 每 一 个 固定 的 xzE 工 ,随机 变量 Xi 的 分 布 函 

数 一 般 与 上 有 关 , 记 为 

F(z,t) = P{X(t) x}, rER 
称 它 为 随机 过 程 {X(C),zET 的 一 维 分 布 函数 ,而 {FCz:i)zET) 称 为 一 维 分 布 函 
数 族 。 

一 维 分 布 函数 族 刻 画 了 随机 过 程 在 各 个 个 别 时 刻 的 统计 特性 。 为 了 描述 随机 过 
程 在 不 同时 刻 状 态 之 间 的 统计 联系 .一般 可 对 任意 n(n 二 2,3,…) 个 不 同 的 时 刻 4， 
2 ,tsT, 引 入 nn 维 随机 变量 (XG(4) ,X(ts),… ,X(t,)), 它 的 分 布 函 数 记 为 

Flziszese Tastista 一 三 (和 页) Sr Xt) Czas Kt,) Zz) 
Tz: ER, i= 1,2,..,n 

对 于 固定 的 2 则 称 {FCzza yznoinyt rst) ,ti 人 ET 为 随机 过 程 {X (7)， 
tET) 的 n 维 分 布 函数 族 。 

当 充分 大 时 ,n 维 分 布 函 数 族 能 够 近似 地 描述 随机 过 程 的 统计 特性 。 显 然 ， 
n 取得 越 大 , 则 n 维 分 布 函数 族 描述 随机 过 程 的 特性 也 越 完 善 。 一 般 可 以 说 ,有 限 维 
分 布 函数 族 , 即 {FCzi,zz, :zsoibsti sn 二 1,2,…… ,ti 人 ET}, 完 全 地 确定 了 随 
机 过 程 的 统计 特性 。 

在 上 一 节 曾 将 随机 过 程 按 其 状态 或 时 间 的 连续 或 离散 进行 了 分 类 。 然 而 ,随机 
过 程 的 本 质 的 分 类 方法 乃 是 按 其 分 布 特性 进行 分 类 。 具 体 地 说 ,就 是 依照 过 程 在 不 
同时 刻 的 状态 之 间 的 特殊 统计 依赖 方式 ,抽象 出 一 些 不 同类 型 的 模型 .如 马尔 柯 夫 过 
程 .平稳 过 程 等 。 将 在 以 后 的 几 节 对 它们 做 不 同 程度 的 介绍 。 


8.2.2 随机 过 程 的 数字 特征 


随机 过 程 的 分 布 函 数 族 能 完善 地 刻画 随机 过 程 的 统计 特性 ,但 是 在 实际 中 根据 
观察 往往 只 能 得 到 随机 过 程 的 部 分 资料 (样本 ), 用 它们 来 确定 有 限 维 分 布 函 数 族 是 
困难 的 ,甚至 是 不 可 能 的 。 因 而 有 必要 引入 随机 过 程 的 基本 的 数字 特征 一 一 均值 函 
数 和 相关 函数 等 。 下 面 将 会 看 到 ,这 些 数字 特征 在 一 定 条 件 下 是 便于 测量 的 。 
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给 定 随机 过 程 {XCD) ,+:€E T} 。 周 定 :ET,X(1) 是 一 随机 变量 , 它 的 均值 一 般 与 1 
有 关 , 记 为 
A 三 容 [ 芝 QZ 河 (8.1) 
则 称 px (Ci) 为 随机 过 程 {XC :ziET} 的 均值 函数 。 
注意 ,ux (7) 是 随机 过 程 的 所 有 样本 函数 在 时 刻 t 的 函数 值 的 平均 值 ,通常 称 这 


种 平均 为 集 平均 或 统计 平均 。 
其 次 ,把 随机 变量 X(Cz) 的 二 阶 原点 矩 和 二 阶 中 心 矩 分 别 记 做 
g(t) 一 开 LX2(C)] (8. 2) 
ot) = Dx(t) = Var[ X(t)] = E{[X() — xt) J} (8. 3) 


分 别称 它们 为 随机 过 程 {XCD) ,ziET} 的 均 方 值 函 数 和 方差 函数 。 方 差 函 数 的 算术 根 
ax(C) 称 为 随机 过 程 的 均 方差 函数 , 它 表 示 随 机 过 程 X(7) 在 时 刻 t 对 于 均值 wx(z) 的 
平均 偏离 程度 。 
又 设 任意 ,ts ET, 把 随机 变量 XCGa) 和 Xe ) 的 二 阶 原点 混合 矩 记 做 
Rxx Gyt) 一 开 LXCGn)X(Ctz)] (8. 4) 
并 称 它 为 随机 过 程 {XCD),zET} 的 自 相 关 函 数 . 简 称 相 关 函 数 。 
类 似 地 ,还 可 写 出 XCn) 和 X() 的 二 阶 中 心 混 合 矩 
Cxx tist2) 一 羽 {[XG) 一 pxG)]LXCa) 一 px(t)]) (8.5) 
并 称 它 为 随机 过 程 {(X(z) ,+ET} 的 自 协 方 差 函 数 .简称 协 方差 函数 。 
自 相 关 函 数 和 自 协 方差 函数 是 刻画 随机 过 程 自身 在 两 个 不 同时 刻 的 状态 之 间 统 
计 依 赖 关 系 的 数字 特征 。 现 把 式 (8. 1) 至 式 (8.5) 定 义 的 诸 数 字 特 征 之 间 的 关系 简 述 
如 下 : 
由 式 (8.2) 和 式 (8.4) 知 


By = Rr Listd (8.6) 
由 式 (8. 5) 展 开 ,得 
Cxx (itz) 一 RRxx(Gstz) 一 px(C)Ax(Ctz) (8.7) 
特别 , 当 二 ts 一 t 时 ,由 式 (8.7), 得 
ok(t) = Cxx (t,t) = Rxx (tt) — prt) (8. 8) 


由 式 (8.6) 至 式 (8. 8) 可 知 ,以 上 诸 数 字 特 征 中 最 主要 的 是 均值 函数 和 自 相 关 函 
数 。 从 理论 角度 来 看 ,仅仅 研究 均值 函数 和 自 相 关 函 数 当然 是 不 能 代替 对 整个 随机 
过 程 的 研究 的 ,但 是 由 于 它们 确实 刻画 了 随机 过 程 的 主要 统计 特性 ,而 且 较 有 限 维 分 
布 函 数 族 易于 观察 和 实际 计算 ,因而 对 实际 应 用 而 言 ,它们 常常 能 够 起 到 重要 的 作 
用 。 据 此 ,在 随机 过 程 理论 中 着 重 研究 所 谓 二 阶 矩 过 程 。 

随机 过 程 {X(Co ,ziET} ,如果 对 每 一 个 ziE 工 .二 阶 矩 ELX? (7)] 都 存在 ,那么 称 它 
为 二 阶 矩 过 程 。 

二 阶 矩 过 程 的 相关 函数 总 存在 。 事 实 上 ,由 于 ELX2(a)] 和 ELX2(z)] 都 存在 ， 
依据 柯 西 - 许 瓦 效 不 等 式 有 

《 瑟 [ 基 《而 7》 其 《7]) < ELX* Ca) ELX*()]s Bstys ET 

即 知 Rxx [ti ,ts 一 ELX(t1)X(zs)] 存 在 。 
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例 8.2.1 设 A、B 是 两 个 随机 变量 , 试 求 随机 过 程 XC) 一 At 十 B,zE 工 一 
(一 ,十 吕 ) 的 均值 函数 和 自 相 关 函 数 。 如 果 A、B 相互 独立 , 且 A 一 N(0,1),B 在 
区 间 (0,2) 上 均匀 分 布 , 问 X(7) 的 均值 函数 和 自 相 关 函 数 是 什么 ? 

解 : X(z) 的 均值 函数 和 自 相 关 函 数 分 别 为 

px(t) = ELA +B]= ELA]+ ELB] 
Rxx (ti,t2) = EL(Ati+t+B)(At;,+t+B)] 
= hts ELA?]++ (ttt )ELAB |]++ ELB’] 
当 A~N(0,1) 时 ,E(A) 二 0,E(A?) 二 1; 当 B 在 区 间 (0,2) 上 均匀 分 布 时 ， 


E(B) 一 1,E(B*) 一 告 ;又 因为 A.B 独立 , 故 ELAB] 一 ELA]JE[B] 一 0。 所 以 ,此 时 


jx (2) =1,Raxx Ch ,tz) 一 tz 十 后 。 


8.2.3 二 维 随机 过 程 的 分 布 函数 和 数字 特征 


在 实际 中 ,有 时 需 同 时 研究 两 个 或 两 个 以 上 随机 过 程 及 其 之 间 的 统计 关系 。 例 
如 , 某 地 在 时 段 L0,z2) 内 的 最 高 温度 XCz) 和 最 低温 度 Y(z) 都 是 随机 过 程 ， ee 
们 的 统计 关系 。 又 如 ,输入 到 一 个 系统 的 信号 和 噪声 可 以 都 是 随机 过 程 , 这 时 输出 
是 随机 过 程 ,需要 研究 输出 与 输入 之 间 的 统计 关系 。 i gr 
过 程 的 统计 特性 加 以 研究 外 ,还 必须 将 几 个 随机 过 程 作为 整体 研究 其 统计 特性 。 

设 X(t)、Y() 是 定义 在 同一 样本 空间 S 和 统一 参数 集 T 上 的 随机 过 程 ,对 于 不 
同 的 :ET,(X(1),Y(7)) 是 不 同 的 二 维 随 机 变量 , 则 称 {(X(1),Y(1)),t:ET) 为 二 维 
随机 过 程 。 

给 定 二 维 随机 过 程 { (CXC) ,Y(CD)) ,1ET} ists ty;ti,,…, 坟 是 中 任意 两 
组 实数 , 则 称 2 十 zz 维 随机 变量 

7 
的 分 布 函数 
ee a te 
Xisy; E R,i= 1,2,. ,nj = 1,2,°,m 

为 这 个 二 维 随 机 过 程 的 n 十 m 维 分 布 函 数 或 随机 过 程 X(1) 与 Y(1) 的 n 十 m 维 联合 分 
布 函 数 。 同 样 可 以 定义 二 维 随 机 过 程 的 n 十 m 维 分 布 函 数 族 和 有 限 维 分 布 函 数 族 。 

如 果 对 于 任意 的 正 整 数 n、m; 任 意 的 数组 tosst, ET,ti ,tohET,Xri, 
X29 TER,yi ys ynER, 上 述 nn 十 m 维 分 布 函 数 恒 等 于 

Pi (zi za Tasti tos tan) Pa Cy Yas sy Ynst st tn), 

其 中 FF 、F; 分 别 是 X(1) 的 n 维 分 布 函数 和 Y(z) 的 m 维 分 布 函 数 , 则 称 随机 过 程 
X(D) 与 Y(z) 是 相互 独立 的 。 

关于 数字 特征 ,除了 X(i) 与 YCi) 各 自 的 均值 和 自 相 关 函 数 外 ,在 应 用 中 感 兴趣 
的 是 XCD 和 Y(C) 二 阶 原点 混合 矩 , 记 做 

Rxvtiists) = ELXCG)Y(E)], Bist ET (8.9) 


第 8 章 随机 过 程 方法 与 技术 


并 称 它 为 随机 过 程 XC 和 Y(i) 的 互相 关 函 数 。 
类 似 地 ,还 有 以 下 定义 的 XCD 和 Y(z) 的 互 协 方差 函数 : 
Cxy (ti,t2) 一 巨 {[ 刁 (二 ) 一 px 二 )]LY(Cia) 一 pr 人 ti)]) t,t ET (8.10) 
如 果 二 维 随 机 过 程 (X(z) ,Y(CD)) 对 任意 的 记 , 姑 拓 工 恒 有 
全 (8. 11) 
则 称 随机 过 程 XCG) 和 Y(i) 是 不 相关 的 。 
两 个 随机 过 程 是 相互 独立 的 , 且 它 们 的 二 阶 矩 存在 , 则 它们 必然 不 相关 。 反 之 ， 
从 不 相关 一 般 并 不 能 推断 出 它们 是 相互 独立 的 。 


8.3 泊 松 过 程 及 维 纳 过 程 


泊 松 过 程 及 维 纳 过 程 是 两 个 典型 的 随机 过 程 ,它们 在 随机 过 程 的 理论 和 应 
用 中 都 有 重要 的 地 位 ,它们 都 属于 所 谓 独 立 增 量 过 程 ,所 以 下 面 首先 介绍 独立 增 
量 过 程 。 

给 定 二 阶 矩 过 程 {X(C) ,t 三 0}, 则 称 随机 变量 (4) 一 X(s) ,0 过 5s 二 t 为 随机 过 程 
在 区 间 [s,t) 上 的 增 量 。 如 果 对 任意 选 定 的 正 整 数 n 和 任意 选 定 的 0 二 to 二 二 … 一 
加 ,2 个 增 量 

RLV NO (DN) = Rt) 

相互 独立 , 则 称 {X(z),t 三 0) 为 独立 增 量 过 程 。 直 观 地 说 , 它 具 有 “在 互 不 重生 的 区 间 
上 ,状态 的 增 量 是 相互 独立 的 ”这 一 特征 。 

对 于 独立 增 量 过 程 ,可 以 证 明 : 在 X(0)==0 的 条 件 下 , 它 的 有 限 维 分 布 函 数 族 可 
以 由 增 量 X(2) 一 X(s) (0 过:s 二 四) 的 分 布 所 确定 。 

特别 地 ,车 对 任意 的 实数 h 和 0 三 s 十 h 二 t 十 h, 久 (tf 十 h) 一 XX(s 十 h) 与 X(1) 一 
X(s) 具 有 相同 的 分 布 , 则 称 增 量具 有 平稳 性 。 这 时 , 增 量 X(1) 一 X(s) 的 分 布 函数 实 
际 上 只 依赖 于 时 间 差 :一 s(0 三 二 7?) ,而 不 依赖 于 上 和 >* 本身 (事实 上 , 令 凡 二 一 即 
知 )。 当 增 量 具有 平稳 性 时 , 称 相 应 的 独立 增 量 过 程 是 齐 次 的 。 

接着 ,在 X(0) 二 0 的 条 件 下 ,来 计算 独立 增 量 过 程 {XC),z 三 0) 的 协 方差 函数 
Ci sys 

记 Y(1) 二 XX(4) 一 jx (1t)。 首 先 注意 , 当 X(t1) 具 有 独立 增 量 时 ,Y(t) 也 具有 独立 
增 量 ;其 次 ,Y(0) 王 0,ELY(z)] 王 0, 且 方差 函数 Dy (+) 一 ELY? (1)] 二 Dx(t)。 利 用 这 
些 性 质 , 当 0 三 ;二 t 时 ,就 有 

过 二 二 五 EYE 
=E{[Y(s) 一 Y(0)][Y(a 一 Y(s) 十 Y(Cs)]) 
=E[LY(s) —Y(0)JELY() 一 Y(Cs)] 十 已 [yz(s)] = Dx(s) 
于 是 可 知 ,对 任意 *:z 伺 0: 协 方差 函数 可 用 方差 函数 表示 为 
Cxx (st) = Dx (minCs,t)) (C8. 12 

定义 8.3.1 {N(z),t 宇 0} 是 一 状态 取 非 负 整 数 . 时 间 连 续 的 随机 过 程 ,如 果 它 

满足 下 述 3 个 条 件 就 称 其 为 强度 为 4 二 0 的 泊 松 过 程 : 
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(1) N(0)=0; 
(2) N() 是 独立 增 量 过 程 ; 
(3) 对 任何 :二 0,s 三 0, 增 量 N(s 十 ) 一 N(z) 服 从 参数 为 Az 的 泊 松 分 布 , 即 
P{NG+2) — NG) = &} Qe exp 全 4) ， 
定义 的 条 件 (1) 说 明 , 随 机 事件 从 时 刻 0 开始 计数 ,条 件 (3) 是 过 程 称 为 泊 松 
过 程 的 直接 理由 。 由 泊 松 分 布 的 性 质 可 以 得 到 ELN(z)] 二 VarLN(z)] 二 At。 增 
量 N(s 十 四 一 NO(W) 代 表 时 间 区 间 (s,s 十 要 中 发 生 的 随机 事件 数 , 条 件 (3) 显 示 增 
量 的 分 布 与 ;无关 , 所 以 增 量 具有 平稳 性 。 条 件 (2) 和 (3) 充 分 刻画 了 过 程 前 后 
的 独立 性 和 时 间 上 的 均匀 性 。 强 度 A* 有 时 也 称 为 速率 , 它 描绘 随机 事件 发 生 的 
频繁 程度 。 
例 8.3.1 顾客 依 泊 松 过 程 到 达 某 商店 ,速率 为 4 二 4 人 /h。 已 知 商店 上 午 9:00 
开门 。 试 求 到 9:30 时 仅 到 一 位 顾客 ,而 到 11:30 时 总 计 已 到 达 5 位 顾客 的 概率 。 
解 : 令 1 的 计时 单位 为 h, 并 以 9: 00 为 起 始 时 刻 , 所 求 事件 可 表示 为 


{NN( 吉 )=1N( 纪 =5) ,其 概率 为 


k Ovlyess (8.13) 


定义 8.3.2 {W().,t 三 0) 是 二 阶 和 矩 过 程 ,如 果 它 满足 下 述 4 个 条 件 就 称 其 为 维 
纳 过 程 : 

(1) 具有 平稳 的 独立 增 量 ; 

(2) 对 任意 的 1 二 s 宇 0,W() 一 W(s) 服 从 正 态 分 布 ; 

(3) 对 任意 的 t 宇 0,E[W (1)]==0; 

(4) W(0)=0。 

条 件 (1) 显 示 维 纳 过 程 是 齐 次 的 独立 增 量 过 程 , 它 也 是 正 态 过 程 ,其 分 布 完全 由 
均值 函数 和 相关 函数 (或 协 方 差 函 数 ) 确 定 。 依 据 条 件 (3)ELW(z)]= 二 0, 进 一 步 可 以 
证 明 Dw(z) 二 ELW?(z)] 二 co?t( 其 中 0 是 维 纳 过 程 的 参数 .可 以 通过 实验 观察 值 加 以 
估计 )。 再 根据 式 (8. 12) 可 以 求 得 协 方差 函数 (相关 函数 ) 为 


Cww (st) = Rww (st) = omin (st) 
8.4 马尔 柯 夫 过 程 
马尔 柯 夫 过 程 因 俄 国 数学 家 Markov 的 研究 而 得 名 。 马 尔 柯 夫 过 程 在 近代 物 


理 , 生 物 学 、 信 息 处 理 及 计算 方法 等 方面 都 有 重要 应 用 。 在 物理 学 中 ,很 多 确定 性 现 
象 遵 从 以 下 演变 原则 :有 时 刻 t 过 程 所 处 的 状态 ,可 以 决定 过 程 在 时 刻 ;二 t 所 处 的 状 
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态 ,而 无 需 借助 于 上 以 前 过 程 所 处 状态 的 历史 资料 。 由 此 引入 了 随机 过 程 中 的 马尔 
柯 夫 性 或 无 后 效 性 。 

过 程 在 时 刻 t 所 处 状态 为 已 知 的 条 件 下 ,过 程 在 时 刻 二 上 所 处 状态 的 条 件 分 布 
与 过 程 在 时 刻 t 之 前 所 处 的 状态 无 关 。 通 俗 地 说 ,就 是 在 已 经 知道 过 程 “ 现 在 ”的 条 
件 下 ,其 “将 来 "不 依赖 于 “过 去 ”。 


8.4.1 马尔 柯 夫 过 程 及 其 概率 分 布 


设 随机 过 程 {X(t),t:ET} 的 状态 空间 为 IT。 如 果 对 时 间 上 的 任意 个 数值 ,4 一 
ts 三 … 过 t,,n 宇 3,ti ET, 在 条 件 义 (t;) 二 xi,zxiET,i 二 1,2,…,n 一 ] 下 ,X(t,) 的 条 件 
分 布 函 数 恰 等 于 在 条 件 X(t,-1) 二 zx,-1 下 X(t,) 的 条 件 分 布 函数 , 即 
P{X(G)S Zz | KX) = zis Rts) = zor Kn) = Tce} 
= P{X(t,) zx | XG) =zx) rz, ER (8. 14) 
则 称 随机 过 程 {X(t) ,+ET) 为 马尔 柯 夫 过 程 。 
A 一 
X(z) ,7 一 0,1,2,…}, 它 可 以 看 作 在 时 间 集 位 ={0,1,2,…} 上 对 离散 状态 的 过 程 相 
继 观察 的 结果 。 约定 链 的 状态 空 间 为 =={al,as，…},a:ER。 在 链 的 情形 ,马尔 柯 夫 
性 通常 用 条 件 分 布 来 表示 , 即 对 任意 的 正 整数 n、r 和 0 二 过 ts 二 … 达 tt, 二 mm, ti、 
mn 十 mET, 有 
P{Xum = a | X = an KX, = a Xs, = a Xn = ai} 
P{Xmtn = a; | Xn = ai} CB 15% 
则 称 条 件 概率 


Pijmm+t+n) = PlXn = a; | X», = ai} (8.16) 
为 马尔 柯 夫 链 在 时 刻 m 处 于 状态 a; 条 件 下 ,在 时 刻 光 十 n 转移 到 状态 a; 的 转移 
概率 。 
由 于 马尔 柯 夫 链 在 时 刻 mx 从 任何 状态 a; 出 发 ,到 另 一 个 时 刻 wx 十 n ,必然 转 移 到 
a1saz，"… 诸 状态 中 的 某 一 个 ,所 以 


SP (mm+n)=1, i=1.,.2, (8.17) 


由 转移 概率 组 成 的 矩阵 Pom， 十 0) 三 (Pj (mm 十 n)) 称 为 马尔 柯 夫 链 的 转移 概率 
和 矩阵。 由 式 (8.17) 知 ,此 矩阵 的 每 一 行 元 素 和 等 于 1。 

当 转 移 概 率 Pj (mm 十 n) 只 与 i、j 及 时 间 间 距 n 有 关 时 , 即 Pi (m,m 十 n) 一 
Pi (n) 时 , 称 转移 概率 具有 平稳 性 。 同 时 也 称 此 链 是 齐 次 的 。 

在 马尔 柯 夫 链 为 齐 次 的 情形 下 ,由 式 (8.16) 定 义 的 转移 概率 

P; (n) P{X wis 区 全 ai} (8.18) 
称 为 马尔 柯 夫 链 的 nn 步 转 移 概 率 ,P(n) 寺 (Pi; (n)) 为 n 步 转移 概率 和 矩 阵 。 在 以 下 的 
讨论 中 特别 重要 的 是 一 步 转移 概率 
ps P; (1) Eo a; | X» Ci 

或 由 它们 组 成 的 一 步 转移 概率 矩阵 


8 
le 信息 安全 中 的 数学 方法 与 技术 


Xn 的 状态 
Cl Ca i 
> al pu piz py 
的 24 pa p22 Psa; “ 
= P(l)=P 
状 : 
态 a Lpn ps ps 


在 上 述 和 矩阵 的 左 侧 和 上 面 标 上 状态 al ,az ,… 是 为 了 显示 pi 是 由 状态 a; 经 一 步 
转移 到 状态 wj 的 概率 。 

例 8.4.1( 一 维 随机 游 动 ) 设 一 醉 汉 Q( 或 看 作 一 随机 游 动 的 质点 ) ,在 如 图 8. 2 
所 示 直 线 的 点 集 TI 一 人 1,2,3.4,5} 上 做 随机 游 动 , 并 且 仅 
仅 在 1s、2s 等 时 刻 发 生 游 动 。 游 动 的 概率 规则 是 :如 果 Q LL | 
现在 位 于 点 i(1 二 i 一 5), 则 下 一 时 刻 各 以 寺 的 概率 向 左 。 图 8.2 例 8.4.1 用 图 


或 向 右 移 动 一 格 ,或 以 二 的 概率 留 在 原 处 ;如果 Q 现在 位 于 1( 或 5) 点 上 , 则 下 一 时 


刻 就 以 概率 1 移动 到 2( 或 4) 点 上 。1 和 5 这 两 个 点 称 为 反射 壁 。 上 面 这 种 游 动 称 
为 带 有 两 个 反射 壁 的 随机 游 动 。 

若 以 X, 表示 时 刻 n 时 Q 的 位 置 ,不 同 的 位 置 就 是 X, 的 不 同 状态 ,那么 
{Xn 二 0,1,2,…}) 是 一 随机 过 程 ,状态 空间 就 是 I 二 {1,2,3,4,5) ,而 且 当 X, 二 i,i€ 
了 为 已 知 时 ,Xi 所 处 的 状态 的 概率 分 布 只 与 X, 二 i 有 关 , 而 与 Q_ 时刻， 以 前 如 何 到 
达 i 是 完全 无 关 的 ,所 以 {X,.n 王 0.1,2,…}) 是 一 马尔 柯 夫 链 , 而 且 还 是 齐 次 的 。 它 的 
一 步 转移 概率 和 一 步 转移 概率 矩阵 分 别 为 


于 二 
a ) z 
by | Es 
0 号 十 半 过 
和 
0 1 0 0 0 
1 二 
a 
a 
Pl 
a 二 
0 0 35 35 3 
0 0 0 1 0 


如 果 把 1 这 一 点 改 为 吸收 壁 , 即 是 说 Q 一 旦 到 达 1 这 一 点 , 则 就 永远 留 在 1 上 。 
此 时 ,相应 链 的 转移 概率 矩阵 只 需 把 P 中 的 第 1 行 改 为 (1,0,0,0,0)。 总 之 ,改变 游 
动 的 概率 规则 ,就 可 得 到 不 同方 式 的 随机 游 动 和 相应 的 马尔 柯 夫 链 。 
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例 8.4. 2( 排 队 模 型 ) 设 服务 系统 由 一 个 服务 员 和 只 可 以 容纳 两 个 人 的 等 候 室 
组 成 , 见 图 8. 3。 服 务 规则 是 : 先 到 先 服务 ,后 来 者 需 在 等 候 室 依次 排队 。 假 定 一 个 
需要 服务 的 顾客 到 达 系 统 时 发 现 系 统 内 已 有 3 个 顾客 (一 个 正在 接受 服务 ,两 个 在 等 
候 室 排 队 ), 则 该 顾客 即 离 去 。 设 时 间 间 隔 At 内 将 有 一 个 顾客 进入 系统 的 概率 为 g， 
有 一 原来 被 服务 的 顾客 离开 系统 ( 即 服务 完毕 ) 的 概率 为 p。 又 设 当 At 充分 小 时 ,在 
这 时 间 间 隔 内 多 于 一 个 顾客 进入 或 离开 系统 实际 上 是 不 可 能 的 。 再 设 有 无 顾客 来 到 
与 服务 是 否 完毕 是 相互 独立 的 。 现 在 用 马尔 柯 夫 链 描述 这 个 服务 系统 。 


系统 
Ee ee 吉 

随机 到 达 者 ! 等 候 室 服务 各 1 离 去 者 

| CS 
a a EE 


图 8.3 例 8.4.2 用 图 


设 XX, 二 XX(nAt) 表 示 时 刻 nAt 时 系统 内 的 顾客 数 , 即 系统 的 状态 。{X, ,nn 二 0,1， 
2,…) 是 一 随机 过 程 ,状态 空间 就 是 1 二 {10,1.2,3) ,而且 仿 照例 8.4.1 的 分 析 , 可 知 
它 是 一 个 齐 次 马尔 柯 夫 链 。 下 面 来 计算 此 马尔 柯 夫 链 的 一 步 转 移 概 率 。 

pw 一 一 在 系统 内 没有 顾客 的 条 件 下 ,经 At 后 仍 没 有 顾客 的 概率 (此 处 是 条 件 概 
率 , 以 下 同 ) ,po 二 1 一 g。 

pa 在 系统 内 没有 顾客 的 条 件 下 ,经 At 后 有 一 顾客 进入 系统 的 概率 ,po 一 dg。 

pw 一 一 系统 内 恰 有 一 顾客 正在 接受 服务 的 条 件 下 ,经 Ar 后 系统 内 无 人 的 概率 。 
它 等 于 在 At 间隔 内 顾客 因 服 务 完毕 而 离 去 , 且 无 人 进入 系统 的 概率 ,pio 二 pp(1 一 gq)。 

pu 一 一 系统 内 恰 有 一 顾客 的 条 件 下 ,在 At 间隔 内 ,他 因 服 务 完毕 而 离 去 ,而 另 
一 顾客 进入 系统 ;或 者 正在 接受 服务 的 顾客 将 继续 要 求 服务 , 且 无 人 进入 系统 的 概 
庚 ,pu 二 pg 十 (1 一 p)(1 一 g)。 

pi 正在 接受 服务 的 顾客 继续 要 求 服务 .生男 一 顾客 进入 系统 的 概率 ,pi 二 
otl= pe 

pws 一 一 正在 接受 服务 的 顾客 继续 要 求 服务 . 且 在 At 间隔 内 有 两 个 顾客 进入 系 
统 的 概率 。 由 假设 .后 者 实际 上 是 不 可 能 发 生 的 ,pis 三 0。 

类 似 地 ,有 pa 二 pss 二 p(1 一 q),pzz 二 pq 十 (1 一 p)(1 一 gq) ,pss 二 q(1 一 p), py 
oi—7|22. 


pas 或 者 一 人 将 离 去 且 另 一 人 将 进入 系统 .或 者 无 人 离开 系统 的 概率 ,ps 一 
pot Dp}, 
于 是 该 马尔 柯 夫 链 的 一 步 转移 概率 矩阵 为 
有 = q 0 0 
其 二 pl(l1—g) pg+ (1—p)(l1—g) gq(1—p) 0 
0 Pl =qg) (l= pM =0) 好人 一 #3) 
0 0 pl(1l—a) BL 


在 实际 中 ,一 步 转移 概率 通常 可 以 通过 统计 试验 确定 ,下面 看 一 实例 。 
例 8.4.3 某 台 计算 机 经 常 出 故障 ,研究 者 每 隔 15min 观察 一 次 计算 机 的 运行 
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状态 ,收集 了 24h 的 数据 ( 共 作 97 次 观察 )。 用 1 表示 正常 状态 ,用 0 表示 不 正常 状 
态 , 所 得 的 数据 序列 如 下 : 
11100100 11111110 01111011 11110011 11111110 001101101 
11101101 10101111 01110111 10111111 00110111 11100111 
设 X, 为 第 n(n 二 1,2,…,97) 个 时 段 的 计算 机 状态 ,可 以 认为 它 是 一 个 齐 次 马尔 
柯 夫 链 ,状态 空间 I 二 {0,1)。96 次 状态 转移 的 情况 是 : 
0 一 0,8 次 ; 0 一 1,18 次 ; 1 一 0,18 次; 1 一 1,52 次 。 
因此 ,一 步 转移 概率 可 用 频率 近似 地 表示 为 


8 8 
poo P{Xan v's 0} 一 518 26 
18 18 
po P{Xnti L's Qa 26 
18 18 
pr 一 Pl{Xnn 一 0 |X 一 1) 一 18 45 70 
52 52 


pun=PiXm—1lX,—1~1g+5 70 


下 面 就 来 研究 齐 次 马尔 柯 夫 链 的 有 限 维 分 布 。 先 看 马尔 柯 夫 链 在 任 一 时 刻 n€ 
TT 的 一 维 分 布 : 
pi(n) = P{X, =a}, a; E11,j)j=1,2,. (8.19) 


显然 ,应 该 有 3 pj(n) 一 1。 由 全 概率 公式 ,又 有 


PR = a = > PlX, = | Xo = oP{R = 


i 
pin) 一 Dpi(OPym), j= 1,2,. (8-20 
i=1 
一 维 分 布 式 (8. 19) 也 可 用 行 向 量 表示 成 
pln) 一 (pi(n) ,pan) ,spin),*) (8. 21) 


这 样 ,可 以 利用 和 矩阵 乘法 (I 是 可 列 无 限 集 时 , 仍 可 以 用 有 限 阶 和 矩阵 乘法 的 规则 
确定 矩阵 之 积 的 元 素 ) , 式 (8. 20) 可 以 写成 
pln) = pO0)PCn) (8. 22) 
此 式 表明 ,马尔 柯 夫 链 在 任 一 时 刻 zxE Ti 的 一 维 分 布 由 初始 分 布 p(0) 和 nn 步 转 
移 概率 矩阵 所 确定 。 
又 对 于 任意 对 个 时 刻 志 到 所 二 … 到 在 ET) 以 及 状态 ca ,ai,，…(ai, ET) ,马尔 
柯 夫 链 的 n 维 分 布 为 
PiXs = a :Xe 二 XX 一 a) 
=P{X, 一 二 。" P{X,, = 
“= P{X,, a | Xua Ci ,XX a } 
。 P{X, a | 入。 二 
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=P{X, =an}* PIX, =a, | X, CD》 
“P{X, 一 aa | X, 一 0 了 (人 X 一 ca | X,, = Qa,} 
一 力 (三 i (ts—t YE CR i a (8. 23 


式 (8. 23) 的 第 一 个 等 式 利 用 了 乘法 定理 ,第 二 个 等 式 利用 了 马尔 柯 夫 性 ,第 三 个 
等 式 利 用 了 齐 次 性 。 由 此 ,结合 式 (8. 20) 和 式 (8. 23) 可 知 , 马 尔 柯 夫 链 的 有 限 维 分 布 
同样 完全 由 初始 分 布 和 转移 概率 确定 。 

总 之 ,转移 概率 决定 了 马尔 柯 夫 链 的 统计 规律 。 因 此 ,确定 马尔 柯 夫 链 的 任意 
n 步 转移 概率 就 成 为 马尔 柯 夫 链 研究 中 的 重要 问题 之 一 。 

例 8.4.4( 续 例 8.4.3) 若 计 算 机 在 前 一 段 时 段 (15min) 的 状态 为 0, 问 从 本 时 
段 起 此 计算 机 能 连续 正常 工作 1h(4 个 时 段 ) 的 概率 为 多 少 ? 

解 : 由 题 意 ,前 一 段 时 段 的 状态 为 0 就 是 初始 分 布 po(0) 二 P{X。 王 0} 三 1。 于 是 
由 式 (8. 23) ,计算 机 能 连续 正常 工作 4 个 时 段 的 概率 为 

P{Xo。 一 0,X 一 1,Xs 一 1,Xs 一 1,X = 1} 
= 0) PAI Pn (DP (Pacl) 
L852 82 52 
26. 70: ° 70. 70 
式 中 数据 见 例 8. 4. 3。 


8.4.2 多 步 转 移 概率 的 确定 


为 了 确定 齐 次 马尔 柯 夫 链 的 n 步 转移 概率 Ps (n) ,首先 介绍 Ps (n) 所 满足 的 基 
本 方程 。 设 {X(n),n€E Ti}) 是 一 齐 次 马尔 柯 夫 链 , 则 对 于 任意 的 u,vE TT, 有 


se 


Pi (xz 十 u) = > PaCGdPy Cw), i,j 一 1.2，… (8. 24) 
k: 


方程 (8. 24) 是 著名 的 切 普 曼 - 柯 莫 洛 夫 (Chapman-Kolmogorov) 方 程 ,简称 C-K 
方程 。 

C-K 方程 基于 下 述 事实 , 即 “ 从 时 刻 * 所 处 的 状态 a;, 即 XCs) 一 ai 出 发 ,经 时 段 
u 十 vv 转移 到 状态 aj, 即 XX(s 十 u 十 v) 三 a)” 这 1 
一 事件 可 分 解 成 "从 XCs) 一 ai 出 发 , 先 经 时 A a 
段 转移 到 中 间 状 态 ai(k 二 1,2,…), 青 从 


1 
1 
a 经 时 段 b 转移 到 状态 a," 这 样 一 些 事件 的 。。 “ ' 


1 
1 
1 1 
1 1 

| 1 1 1 二 
Ss st SHU 1 


和 事件 , 见 图 8. 4。 0 

方程 (8. 24) 的 证 明 如 下 : 先 固定 a: ET 图 8.4 C-K 方程 的 原理 
和 sETi, 由 条 件 概 率 、 乘 法 定理 ,马尔 柯 夫 
性 和 齐 次 性 可 得 


P{X(s++utv) = a;, XC(s+u) 一 ak | XC(s) 一 ai 
=P{X(s++u) = a | X(s) 一 ai 
»* P{X(s+utv) = a | X(tu) = a X(s) = a;} 
=Pi(u) »。 Py (v) 《8. 25) 
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又 由 于 事件 组 “XX(s 十 ) 二 ar”,k 二 1,2,… 构 成 一 划分 , 故 有 
Pj(utwv) = P{X(s+ut+v) = a | X(s) = a;} 


-DP {XC 二 ut+v) = a XCGs+u) = ar | XC(s) = ai} 


将 式 (8. 25) 代 入 上 式 ， 即 得 所 要 证 明 的 C-K 方程 。 
C-K 方程 也 可 写成 矩阵 形式 : 
PCx 十 u) = P(u)P(v) (8. 26) 
利用 C-K 方程 容易 确定 n 步 转移 概率 。 事 实 上 ,在 式 (8. 26) 中 , 令 一 1,v 一 
2 一 1 ,得 递 推 关系 : 
Pln) = P(1)P(n—1) = PP(n—1) 
从 而 可 得 
Pl(n)= P" (8.27) 
就 是 说 ,对 齐 次 马尔 柯 夫 链 而 言 ,n 步 转移 概率 和 矩阵 是 一 步 转 移 概 率 矩 阵 的 n 次 方 。 
进而 可 知 , 链 的 有 限 分 布 可 由 初始 分 布 与 一 步 转 移 概率 完全 确定 。 
例 8.4.5 设 {X,,n 宇 0} 是 具有 3 个 状态 0、1、2 的 齐 次 马尔 柯 夫 链 ,一 步 转移 概 


3 和 
二 
一 | 工 1 1 
P| 过 
3 1 
& 


始 分 布 总 (0) 一 P{Xo 一 让 ,一 0.1,2。 试 求 : (1) PC(Xo 一 0,Xs 一 1);(2)PCX* 一 1)。 
解 : 先 求 出 二 步 转移 概率 矩阵 为 


5 5 1 
8 16 16 
二 着 二 | 二 由 竹 
旦 让 多 三 六 二 | 36 二 
3 .9 1 
16 16 4 
于 是 13 
P{X。 = 0,X: = 1} =P{X。 = 0}P{X; = 1 | Xo = 0} = po 0) po 2) 
二 
3 16 48 


(2) 由 式 (8. 20)， 
p1(2) =P{X; = 1} = po(0)pa 2) pi (0) pu 2) + ps0) p22) 


3 +16] 一 妆 


8.4.3 马尔 柯 夫 链 的 平稳 分 布 
设 齐 次 马尔 柯 夫 链 {X,,z 全 1) 的 状态 空间 为 了 ,已 是 它 的 一 步 转移 概率 矩阵 ; 如 


3 [16 
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果 对 于 所 有 ai,a; ET, 转 移 概率 Pj (n) 存 在 极限 
limPs(n) 二 x (不 依赖 于 让 


则 称 此 链 具 有 遍历 性 。 又 若 > ) xj; 一 1, 则 同时 称 卫 二 (mn ,zo，…) 为 链 {X,,n 宇 1) 的 
极限 分 布 。 
设 F= (v4,vs,…) 是 T 上 的 一 概率 分 布 ,如 果 有 T=T* P, 即 有 w= 二 >) up， 则 


iaiET 
称 卫 王 (Co oo …) 为 链 {X, ,xz 二 1) 的 平稳 分 布 。 
齐 次 马尔 柯 夫 链 在 什么 条 件 下 才 具 有 遍历 性 ? 如 何 求 出 它 的 极限 分 布 和 平稳 分 
布 ? 下 面 仅 就 只 有 有 限 个 状态 的 链 , 即 有 限 状态 链 的 遍历 性 给 出 一 个 充分 条 件 。 
定理 8.4.1 设 齐 次 马尔 柯 夫 链 {X,.n 宇 1} 的 状态 空间 为 I= (a,as,*…,an})， 
P 是 它 的 一 步 转移 概率 和 矩 阵 , 如 果 存 在 正 整 数 ,使 得 对 任意 a;,a; ET, 都 有 
Pj(m)>0, i,j=1,2,.°,N (8.28) 
则 此 链 具 有 遍历 性 ; 且 有 极限 分 布 了 = (Cr ,zz，… ,xw), 它 是 方程 组 


I 一 J.P 或 即 x = Se 了 一 1,2，……,N (8. 29) 

的 满足 条 件 本 
mi 二 0， 治本 = (8. 30) 

的 唯一 解 。 


依照 定理 ,为 证 明 有 限 链 是 遍历 的 ,只 需 找 一 正 整数 m, 使 mm 步 转移 概率 和 矩 阵 
P” 无 零 元 。 而 求 极限 分 布 卫 三 (mn,xo，… Ay) 的 问题 ,化 为 求解 方程 组 (8. 29) 的 问 
题 。 在 定理 的 条 件 下 , 齐 次 马尔 柯 夫 链 {X, ,nn 三 1} 的 极限 分 布 就 是 它 的 平稳 分 布 。 

容易 看 出 ,如 果 五 一 (rm ,… xn) 为 链 的 初始 分 布 , 即 P{Xi 王 aj) 二 xj, 则 有 


P{Xs =a} = >) P{X: =j| Xi =iP{X! 一 让 一 >) mmPi = 
is=l De 
并 由 归纳 法 可 得 
P{X, =a} = 2) P{X, =j| Xi =i}P{X, =i = DriP; = 


于 是 对 所 有 nn,X, 有 相同 分 布 , 即 p(n) 永远 和 I 二 (x rz ，… ,NN ) 一 致 。 
例 8.4.6 试 说 明 例 8.4.2 的 排队 模型 中 的 链 是 遍历 的 ,并 求 其 极限 分 布 。 
解 : 由 例 8.4.2 中 的 一 步 转移 概率 矩阵 也 .可 算得 P(3) 一 书 无 零 元 。 依 据 定 
理 8.4.1, 该 链 是 遍历 的 。 而 极限 分 布 卫 二 (ro ,x ,zz :rs ) 满 足下 列 方程 组 
ro = (lg)mt+ pm oan 
zi = grot [pg 1— p61— gr + [Lp — gq) jr 
Lo 
ns = gq(l—p)nzt Lpgtt (1 p) ns 
NAo 十 XA 十 xz 十 xs 二 1 
解 之 ,得 唯一 解 
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3 a 3 
= 9 da) 
2 a 2 
站 — gq) 
x PDI p) 
Cc 
3 = 2 
二 三 谊 二 力 ) 
其 中 C=p’ (1 一 g)3 十 加 2g (1—g)?+pg: (1—q)(1—p)+g (1—p)? 


有 限 状 态 马尔 柯 夫 链 具 有 遍历 性 的 判别 是 随后 讨论 马尔 柯 夫 密码 的 关键 ,所 以 
下 面 继 续 给 出 另外 的 充分 必要 条 件 。 

定义 8.4.1 设 马 尔 柯 夫 链 {X, ,xz 过 1} 的 状态 空间 为 [一 {alaz,…} ,对 aoiE 
T, 若 存在 自然 数 闷 ,使 得 Py (2) 二 0, 则 称 自 状 态 a; 出 发 可 达 状 态 aj, 记 为 a; 一 aj。 
如 果 ai 一 a 且 心 一, 则 称 w 和 a,; 是 相通 的 , 记 为 wii 一 wii。 如 果 马 尔 柯 夫 链 
{X, 2 二 1) 的 任意 两 个 状态 都 相通 , 则 称 为 不 可 约 链 。 

如 果 两 个 状态 a; 和 a 不 是 相通 的 ,那么 就 有 对 所 有 的 光宇 1 ,Pj (xz) 一 0 或 者 对 
所 有 的 宇 1,Pi(m) 二 0, 或 者 两 者 都 成 立 。 三 者 情况 必 居 其 一 。 相 通 性 是 一 种 数学 
上 的 等 价 关 系 , 也 就 是 说 它 满足 自 反 性 、 对 称 性 和 传递 性 。 两 个 状态 如 果 是 相通 的 ， 
就 称 它们 是 处 在 同一 类 中 。 马 尔 柯 夫 链 的 所 有 状态 由 相通 这 一 等 价 关 系 分 割 成 不 同 
的 等 价 类 。 不 可 约 链 就 是 在 相通 这 一 等 价 关 系 下 所 有 状态 都 属于 同一 类 的 马尔 柯 夫 
链 , 换 言 之 ,不 可 约 过 程 的 各 个 状态 都 是 相通 的 。 

定义 8.4.2 设 马 尔 柯 夫 链 {X,,n 三 1) 的 状态 空间 为 1 二 {a ,as，…) ,对 状态 a;， 
如 果 和 集合 {m:m 三 1 ,Pi(m)0) 隆 名 , 称 该 数 集 的 最 大 公约 数 d( 让 为 状态 a; 的 周期 。 
如 果 d( 让 二 1, 称 状态 ww 为 周期 的 ;如 果 d( 店 二 1, 称 状态 a; 为 非 周期 的 。 

由 定义 立即 可 知 , 如 果 m 不 能 被 周期 d (i) 整 除 , 则 必 有 Pi (mm) 二 0。 

例 8.4.7 马尔 柯 夫 链 有 状态 0.1、2、3: 转 移 概率 矩阵 为 


0 1 0 0 
V0 六 洛 
| 询 ” 闪 -十 
L 1 
Dp 


试 求 状态 0 的 周期 。 
解 : 不 难 计算 出 P= 二 0,Po(2)= 二 Po (3) 二 Pw (5) 二 Poo(2m 十 1)= 二 0, Po (4) 一 


均 , Po C6) 一 证, PoC8) 一 写 , 而 {4,6,8,…} 的 最 大 公约 数 为 2, 所 以 4(0) 一 2。 


那么 上 例 中 其 他 状态 的 周期 是 多 少 呢 ? 由 于 周期 性 是 一 种 整个 等 价 类 所 具有 的 
性 质 , 所 以 如 果 过 程 是 不 可 约 的 : 则 每 个 状态 都 有 相同 的 周期 。 这 就 是 下 面 的 引 理 。 

引 理 8.4.1 设 马 尔 柯 夫 链 {X,,n 宇 1}) 的 状态 空间 为 二 ai,as，,…}), 如 果 
airaj; 则 d(i) 一 d(j)。 
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证 明 : 由 cwi 一 oj 知 , 存 在 产 2 使 PC 二 0 和 PC) 二 0。 于 是 有 
Pj(ntm) 宇 Pi(n)Pj(m)>>0 
假如 有 使 Pa(Cs) 二 0, 则 也 有 
Pi (2 十 十 za) 之 Pi(a)Pa(s)Pi(Cza) 过 0 

因为 不 等 式 最 左边 所 表示 的 从 状态 w 出 发 经 过 nn 十 s 十 m 步 转移 后 又 回 到 wa 的 概 
率 , 它 当然 要 大 于 一 个 加 了 更 多 限制 的 子 事件 的 概率 。 这 个 子 事件 是 从 w 出 发 经 过 
n 步 转 移 到 a;, 青 经 过 s 步 返 回 到 a;, 又 再 从 ai 出 发 经 过 mm 步 到 达 a;。 它 的 效果 也 
是 转移 nn 十 s 十 m 步 回 到 a;。 由 d(7) 的 定义 , 它 将 同时 整除 nn 十 mx 及 nn 十 s 十 m, 所 以 
d(01) 必 整除 ,而 < 人 GD) 是 所 有 使 Pi(s) 二 0 的 s 的 最 大 公约 数 ,所 以 4(j) 整 除 4 (i)。 
同样 可 证 4( 让 整除 4(j) ,所 以 有 d(2) 二 d(j)。 

引 理 8.4.2 设 马尔 柯 夫 链 {X,,n 宇 1} 的 状态 空间 为 I 二 {a1,as，…) ,如果 状 态 
a; 有 周期 4 (让), 则 存在 整数 M ,使 得 对 所 有 的 mn 二 M 恒 有 P;(nd(i)) 记 0。 

证 明 : 数论 中 有 一 个 事实 :如 果 正 整数 ,ns,… ,nx 的 最 大 公约 数 为 4 , 则 存在 
正 整 数 M 使 得 对 所 有 的 nn 二 M., 能 找到 非 负 整数 c, 使 得 


大 
nd = Den, (98,31) 


对 于 状态 ai, 令 加, 吉 ,… sm 为 使 Pin) 这 0, 二 1,2,…,k 成 立 的 正 整 数 。 由 周 
期 的 定义 ,4 是 它们 的 最 大 公约 数 。 而 由 式 (8. 31) 知 ,对 nn 二 M, 有 


大 


天 
Pa(nd(D) = Pi(2) cm) I] Pir) >0 
t=1 


由 引 理 8. 4. 2 及 事实 Pj (m 十 nd( 让 ) 三 Pj (m)Pi(nd(i)) 立 妈 有 下 面 的 推论 。 

推论 8.4.1 如 果 Pj (mm) 二 0. 则 存在 正 整 数 M, 使 得 对 所 有 的 2 二 M 恒 有 
Pj (m+nd(i))>0。 

讨论 这 些 性 质 的 意义 何在 呢 ? 它 可 以 帮助 我 们 研究 当 很 大 时 Pj;(n) 的 极限 是 
否 存 在 ?存在 的 条 件 是 什么 ? 如果 存 在 又 如 何 简便 地 求 出 它们 ? 周期 性 是 一 种 等 价 
类 中 全 体 状 态 共 有 的 性 质 。 当 周期 为 1 时 .马尔 柯 夫 链 称 为 是 非 周期 的 。 对 于 非 周 
期 不 可 约 的 马尔 柯 夫 链 有 以 下 定理 。 

定理 8.4.2 yi eh 的 状态 空间 为 T= {ai,as，…,an), 且 该 链 
是 不 可 约 和 非 周期 的 ,已 是 它 的 一 步 转移 概率 矩阵 : 则 必 存 在 M, 使 得 当 n 宇 M 时 ， 
heme ee 

证 明 : 由 于 马尔 柯 夫 链 {X,,n 宇 1} 是 不 可 约 的 .过程 的 任 两 个 状态 a; 和 oj 都 是 
相通 的 ,于 是 存在 m( 与 a; 和 a; 有 关 ) 使 Py (mm ) 二 0。 由 推论 8. 4.1 及 链 非 周期 得 
知 : 存在 M, 使 得 当 全 M 时 有 Piy(z 二 2。1) 二 0。 因 状态 空间 是 有 限 的 ,对 全 部 的 
状态 对 (ai ai) 求 出 MG 7 。 并 取 M 一 maxCmzGi7 二 MG) 则 显然 对 所 有 状态 
a; 和 cj , 当 ?z>M 时 有 Pi(Cz) 二 0。 


8.5 马尔 柯 夫 密 码 


如 果 分 组 密码 EE 是 基于 一 个 简单 函数 下 迭代 若干 次 而 形成 ， ee 8.5 所 示 , 就 
称 其 为 迁 代 密码 。 每 次 迭代 称 为 一 轮 。 相 应 的 函数 下 称 为 轮 函 数 。 每 一 轮 输 出 都 
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是 前 一 轮 输出 的 函数 , 即 Y(iD) 一 FGYG 一 1) ,KG)) ,其 中 开 (G) 是 第 ;轮子 密 钥 ,由 秘 
密 密 钥 K 通过 密 钥 扩展 算法 产生 。DES 为 16 轮 ,AES-128 为 10 轮 。 本 章 假 定 轮 函 
数 下 :10,1}"X{0,1})* 一 {0,1)", 对 每 个 轮子 密 钥 K(i),F(。,K(i)) 是 {10,1}” 上 的 
置换 。 


YOO)=X 


Xl 72 Mr-I Y=Y 
F EDT DD... WD [5 | (站 
x 1) te» K(7) 


密 钥 扩展 算法 


tx 


8.5 以 下 为 轮 函 数 的 ~ 轮 和 迭代 密码 


迭代 密码 与 分 组 密码 的 基本 设计 原则 相符 。 简 单 的 轮 函 数 可 方便 地 实现 ,并 且 
适当 选择 的 轮 函 数 经 过 若干 次 迭代 后 可 以 提供 必要 的 混乱 和 扩散 ,所 以 目前 流行 的 
分 组 密码 均 是 迭代 型 密码 。 

对 于 任意 两 个 比特 串 X 和 X" ,它们 的 差分 定义 为 

AX = OX 
其 中 ,表示 {10,1)"” 上 的 一 个 群 运算 ;(X* )-! 表 示 元 素 X* 在 群 ({0,1)",@) 中 的 北 
元 。 用 e 表示 群 ((0,1)",@) 的 么 元 。 

定义 8.5.1 对 轮 函 数 下 : {0,1})"X{0,1}* 一 {0,1}",F(X,Z)= 二 Y, 如 果 存 在 
用 来 定义 差分 的 群 运算 四, 使 得 对 任意 a,BE {0,1)"\{e), 当 子 密 钥 Z 是 均匀 随 
机 时 ， 

P{AY =B| AX=a,X=7} 
和 XX 的 取 值 7 无关 ; 则 以 下 为 轮 函 数 的 迭代 密码 称 为 马尔 柯 夫 密 码 。 

用 图 8.5 所 示 的 7 轮 迭 代 密 码 加 密 一 对 不 同 的 明文 X 和 X* ,它们 的 加 密 过 程 
和 差分 序列 如 图 8.6 所 示 。 


= Xu 一 人 
TO A er 和 -站 1 
i 
| 


K(1) K(2) 5 K(7) 
Y*(0OF=X* t 1Y0) | Py Y*(r-1) ' YA 
-Tee | 二 a 
AX=X@(X TI AM1) AX21) AWr=1) ANMr)=AY 


8.6 r 轮 迭代 密码 加 密 一 对 明文 的 差分 序列 


由 加 密 对 可 得 

差分 序列 AY'(0)s AY(I)s = AY(r) 
其 中 Y(Co) 一 X 和 Y*(0) 王 X 表示 明文 对 .使 得 AY(0) 二 AX. 并 且 Y(i) 和 YY* (i) 
(0 二 i 二 7) 是 第 i 轮 的 输出 ,它们 也 是 第 i 十 1 轮 的 输入 。 第 i 轮 的 子 密 钥 记 为 K (i)， 
下 是 轮 函数 ,使 得 
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Y(i) = F(Y(i—1),K()) 

在 下 面 的 讨论 中 ,总 假设 X 关 X” ,因为 当 XX 一 X* 时 ,所 有 AY (i) 都 等 于 群 ({0， 
1)”,G) 的 么 元 e, 而 这 种 情形 对 于 差分 密码 分 析 没 有 意义 ,从 而 AY (i) € {0,1}"\ 
{e}。 也 假设 用 于 迭代 密码 每 一 轮 的 子 密 钥 是 统计 独立 且 均 匀 分 布 的 ,实际 中 ,这 一 
假设 将 作为 密 钥 扩展 算法 设计 的 一 个 目标 。 

下 面 的 定理 解释 为 什么 使 用 "马尔 柯 夫 密码 ”这 一 术语 。 

定理 8.5.1 若 以 下 为 轮 函 数 的 ~ 轮 迭 代 密 码 是 马尔 柯 夫 密 码 , 且 7 轮子 密 钥 
是 独立 随机 均匀 的 , 则 差分 序列 AX 王 AY(0),AY(1),…,AY(Cr) 是 一 条 齐 次 马尔 柯 
夫 链 : 若 AX 在 群 中 的 非 么 元 素 上 是 均匀 分 布 的 , 则 这 条 马尔 柯 夫 链 是 平稳 的 , 且 均 
匀 分 布 是 它 的 平稳 分 布 。 

证 明 : 为 证 明 差 分 序列 AX 一 AY(0),AY(1),…,AY(r) 是 马尔 柯 夫 链 ,只 需 证 明 
对 于 第 二 轮 满足 : 

P{AY(2) 一 记 | AY(1) =B,AX = a} = P{AY(2) 一 应 |AY(1) 一 有 
为 证 明 这 一 点 ,注意 到 

P{AY(2) =p, | AY(1) = Bi,AX = a} 
一 >)P{(Y(I) = 7,AY(2) =B | AY()=RP,AX = a) 


= DP{Y() =7y|AY()=B,AX = a) 
可 


。P{(AY(2) =B | AY() =B,Y(1) 一 7y,AX 一 ca)} 
一 >)P{Y(1) 一 y| Ar(l) 一 BAX 一 ao) 
p 


“ P{AY(2) 一 | AY() =B,Y(1) 一 7)} 
= DP{Y(Q) =7Y|AY()=B,AX=a) 
入 


“P{AY(2) = & | AYCIY = Bi} 
一 P{AY(2) =B, | AY(1) = B} 
其 中 第 三 个 等 式 成 立 是 因为 Y(1) 和 AY(1) 可 以 确定 Y(1) 和 Y* (1), 因 此 , 当 Y(1) 
和 AY(1) 给 定 ,AY(2) 不 再 依赖 AX。 第 三 个 等 式 成 立 是 因为 该 迭代 密码 是 马尔 柯 
夫 密 码 。 又 由 于 每 轮 使 用 相同 的 轮 函 数 ,所 以 差分 序列 AX=AY(0),AY(1),…， 
AY(r) 是 齐 次 马尔 柯 夫 链 。 

对 于 任意 的 密 钥 Z 一 =, 轮 函数 F(。,z) 是 {0,1}" 上 的 双 射 。 令 信 二 {(X,X*): 
X,X* E{0,1)",X 隐 X"}, 则 Fr.(X,X") 一 (F(X,z),F(X" ,zx)) 是 入 上 的 双 射 。 
如 果 X 和 AX( 天 e) 是 独立 上 且 均 匀 分 布 的 : 则 (CX:.X*) 在 从 上 是 均匀 分 布 的 ,进而 (了 ， 
Y* ) 一 (FCX,z=),FCX* ,=)) 在 各 上 也 是 均匀 分 布 的 ,从 而 AY( 天 e) 也 是 均匀 分 布 的 。 
因此 ,均匀 分 布 是 马尔 柯 夫 链 AX 一 AY(0) ,AY(1),…,AY(r) 的 平稳 分 布 。 

例 8.5.1 在 差分 定义 为 AX 一 X 由 X-* 的 情形 下 ,分 组 密码 DES、AES、 
SMS4 等 都 是 马尔 柯 夫 密码 ,其 中 由 表示 逐 比 特异 或 。 它 们 的 证 明 源 于 下 面 的 
两 个 结果 。 
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定理 8.5.2 如 果 过 代 密 码 的 轮 函 数 具 有 形式 : 
XZ = @2 
其 中 @@ 表 示 {0,1)" 上 的 一 个 群 运算 ,函数 g(。,Zs) 对 Ze 的 每 种 选择 均 是 可 逆 的 , 则 
此 和 迭代 密码 在 差分 定义 AX 一 XGQ(CX-” ) 一 下 是 一 马尔 柯 夫 密码 。 
证 明 : 设 S 王 XGZA,Y 一 g(S,Za),S 一 XGOZA 和 YY*= 二 g(S* ,Za), 从 而 有 
AS= SO = (XOZIOZ OXY= AX 
AY = g(tS,2Z) (gg(8" Za = g(S ZI OO (EA OS Ze 
因此 , 当 给 定 As 和 S 时 ,AY 不 再 依赖 于 X ,从 而 有 
P{AY =B| AX =a,X = 7) 
P{AY =B| AS=a,X = 7} 
= P(AY=p,S=A|AS=a,X= 7Y} 


=P{AY =BI AS=aX=7,S=X}.:P(S=4|AS=a,X=7}) 
7 

=2P{AY=B|AS=a,S=4} .P(ZA =7!®4) 

7 


=2™ 2) P{AY =B|AS=—a,S=—1) 
它 与 X 的 取 值 y 无 关 , 这 里 证 明 用 到 子 密 钥 Z== (Za ,Za) 是 均匀 随机 和 以 下 等 式 ， 
P(t = 处 AS = PI 

类 似 地 可 以 证 明 以 下 定理 。 

定理 8.5.3 ”如果 和 迭代 密码 的 轮 函 数 具 有 形式 : 

FRIZ) = RN > 

其 中 四 表示 {0,1)"” 上 的 一 群 运算 ,函数 g(*) 是 {40,1)"” 上 的 双 射 , 则 此 和 迭代 密码 在 差 
分 定义 AX 二 XC@(X* )-: 下 是 一 马尔 柯 夫 密码 。 

对 于 任何 马尔 柯 夫 密码 , 设 P 表示 齐 次 马尔 柯 夫 链 AX 一 AY(0),AY(1),…， 
AY(7) 的 转移 概率 矩阵,P 的 第 (i, 丫 个 元 为 P(AY(1) 二 aj | AX 二 a;) ,其 中 ai ,Qs ，…， 
aw-1 是 AX 的 2" 一 1 个 可 能 值 的 某 个 指定 排序 。 那 么 ,对 于 每 个 r 宇 1 有 

P=[PY]= [PAY() =a | AX = @&)] (8. 32) 


注意 己 的 每 行 元 素 的 和 为 1, 且 由 定理 8. 5.1 知 , 均 匀 分 布 了 (mn ,而 ,… ,zi ) 一 
( 赤 Lp 二 是 其 平稳 分 布 ,所 以 对 每 个 有 


2 一 172" 一 1” ”2 
22 一 1 2 一 1 


La 
1 ny 一 2 mips D2) ips i 


2 一 是 加 i=1 i=1 


进而 3 ps 二 1, 即 P 的 每 列 元 素 的 和 也 为 1。 这样 得 到 以 下 的 结果 。 
定理 8.5.4 马尔 柯 夫 密码 的 转移 概率 矩阵 是 双 随 机 的 , 即 每 一 行 与 每 一 列 的 
和 均 为 1。 
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8.6 马尔 柯 夫 密码 对 差分 密码 分 析 的 安全 性 


8.6.1 差分 密码 分 析 


差分 密码 分 析 是 迄今 已 知 对 迭代 密码 最 有 效 的 分 析 方 法 之 一 , 它 是 1990 年 由 
Biham 和 Shamir 提出 的 , 它 对 几乎 所 有 的 分 组 密码 都 适用 ,其 基本 思想 是 通过 分 析 
明文 对 的 差 值 对 密 文 对 的 差 值 的 影响 来 恢复 某 些 密 钥 比特 。 研 究 结 果 表 明 ,和 迭 代 密 
码 的 简单 轮 函 数 下 在 如 下 意义 下 通常 是 密码 上 弱 的 : 
对 于 Y= 二 FO(Yi1 ,Ki) 和 YY? = 一 F(Y2i1,K;i), 车 三 元 组 (AY,_1,Y;,Y? ) 的 一 个 或 
多 个 值 是 已 知 的 , 则 确定 子 密 钥 K; 是 容易 的 。 
从 而 , 若 密 文 对 已 知 ,并 且 最 后 一 轮 的 输入 对 的 差分 能 以 某 种 方式 得 到 , 则 一 般 
来 说 ,确定 最 后 一 轮 的 子 密 钥 或 其 一 部 分 是 可 行 的 。 在 差分 密码 分 析 中 ,通过 选择 具 
有 特定 差分 值 we 的 明文 对 (Y。 ,Ys ) ,使 得 最 后 一 轮 的 输入 差分 AY,-1 以 很 高 的 概率 
取 特 定 值 .一 :来 达到 这 一 点 。 
定义 8.6.1 i 轮 差 分 是 一 对 差分 (a,B), 其 中 a 是 一 对 不 同 明文 X 和 X” 的 差 
分 ,8 是 第 i 轮 输 出 Y; 和 YY? 的 差分 。 一 个 i 轮 差 分 (a,B) 的 概率 是 一 条 件 概 率 , 在 明 
文 X 和 子 密 钥 1,…,K; 是 独立 ,均匀 随机 时 ,明文 差分 AX=a 的 条 件 下 ,第 i 轮 输 
出 的 差分 为 B 的 概率 。 记 为 P{AY(i)==B|AX 二 a}。 
由 式 (8. 32) 可 知 , 对 于 一 个 马尔 柯 夫 密 码 ,i 轮 差 分 的 概率 是 i 步 转移 概率 矩阵 
Pi! 的 第 (c,8) 个 元 。 
对 > 轮 和 迭代 密码 的 差分 密码 分 析 的 基本 过 程 可 综述 为 以 下 的 算法 。 
算法 8.6.1 
第 1 步 : 找 出 一 个 (r 一 1) 轮 差分 (a,B) ,使 得 P{(AY(r 一 1) 一 BAX 一 c} 达 到 
最 大 或 几乎 最 大 。 

第 2 步 : 均匀 随机 地 选择 明文 X 并 计算 X* ,使 得 X 和 X ”的 差分 为 g, 找 
出 X 和 X* 在 实际 密 钥 加 密 下 所 得 的 密 文 YIr) 和 Y*(r)。 若 最 
后 一 轮 的 子 密 钥 K, (或 K, 的 部 分 比特 ) 有 2"” 个 可 能 值 
KiC1I<5J 委 2”") ,设置 相应 的 2" 个 计数 器 Aij (1<jJ 委 2") ,用 每 个 Ki 
解密 密 文 Y(r) 和 Y*(r), 得 到 Y(r 一 1) 和 Y*(r 一 1), 如 果 
Y(r 一 1) 和 Y*(r 一 1) 的 差分 是 B, 则 给 相应 的 计数 器 A; 加 1。 

第 3 步 : 重复 第 2 步 , 直 到 一 个 或 几 个 计数 器 的 值 明 显 高 于 其 他 计数 器 的 
值 , 输 出 它们 所 对 应 的 子 密 钥 ( 或 部 分 比特 ) 。 


在 差分 密码 分 析 中 ,所 有 轮子 密 钥 都 是 固定 的 , 仅 有 明文 能 随机 选择 ,而 在 计算 
差分 概率 时 ,明文 和 所 有 轮子 密 钥 都 是 独立 、 均 匀 、 随 机 的 。 因 此 在 用 计算 得 到 的 差 
分 概率 来 确定 哪 一 个 差分 在 攻击 中 是 有 用 的 过 程 中 , 隐 含 了 以 下 假设 。 

随机 等 价 假设 :对 于 所 有 实质 上 的 r 一 1 轮 高 概率 差分 (a,B) , 式 (8. 33), 即 

P{AY(r—1)=B| AX=a) 
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xP{AY(r—1)=B| AX=a,Ki= kh,…,K, =m ki} Ca a3 

对 子 密 钥 值 (ki ,ks,… ,k,_1) 的 大 部 分 成 立 。 

若 一 个 高 概率 差分 对 式 (8. 33) 成 立 , 则 称 它 为 差分 密码 攻击 有 用 的 (DC 有 
用 的 )。 

对 于 分 组 长 度 为 n 比特 的 分 组 密码 ,存在 2" 一 1 个 AY(r 一 1) 的 可 能 值 ,所 以 对 
于 差分 密码 分 析 有 以 下 结论 。 

定理 8.6.1 设 随 机 等 价 假 设 成 立 , 则 一 个 具有 独立 子 密 钥 的 7 轮 迭 代 密 码 对 
差分 密码 分 析 是 可 破 的 当 且 仅 当 轮 函 数 是 弱 的 , 且 存 在 一 个 DC 有 用 的 ~ 一 1 轮 差分 


(a,B) ,使 得 P(AY(r 一 1) 一 BAX oa 六 二 上 


IT。 

从 上 面 的 讨论 可 见 ,迭代 分 组 密码 抵抗 差分 密码 分 析 的 安全 性 依赖 于 差分 概率 
的 大 小 ,更 进一步 ,依赖 于 定义 差分 的 群 运算 的 选择 。 为 使 得 差分 密码 分 析 更 有 效 ， 
群 运算 应 该 选择 使 得 DC 有 用 的 差分 概率 达到 最 大 。 从 现 有 的 分 析 结 果 看 ,选择 使 
分 组 密码 称 为 马尔 柯 夫 密码 的 群 运算 似乎 是 最 恰当 的 。 

从 算法 8. 6.1 可 知 ,差分 密码 分 析 的 数据 复杂 度 两 倍 于 选择 明文 对 (C(X,X*) 的 
个 数 。 差 分 密码 分 析 的 处 理 复杂 度 是 从 (AY (7r 一 1),Y(r),Y* (Cr)) 找 出 子 密 钥 K， 
(或 K, 的 部 分 比特 ) 的 计算 量 , 它 实际 上 与 7 无关 ,而 且 由 于 轮 函 数 是 弱 的 ,所 以 此 计 
算 量 在 大 多 数 情况 下 相对 较 小 。 因 此 ,差分 密码 分 析 的 复杂 度 取决 于 它 的 数据 复杂 
度 。 设 Ca(r) 表 示 对 r 轮 迭 代 密 码 进行 差分 密码 分 析 的 数据 复杂 度 , 下 面 的 定理 给 
出 Ca(r) 的 一 个 下 界 。 

定理 8.6.2 设 随机 等 价 假设 成 立 , 则 对 7 轮 迭 代 分 组 密码 进行 差分 密码 分 析 
的 数据 复杂 度 满 足以 下 式 子 : 


Gt = 


Ws = 


1 (8.34) 
2*—1 
其 中 ,pl =maxmaxP (AY(r—1) =BIAX=a) sn a 


证 明 : 若 差分 密码 分 析 成 功 ， 则 AY(x 一 1) 预 知 8 的 次 数 至 少 比 随机 选择 的 B' 的 
次 数 多 一 次 ,因此 在 工 次 试验 内 成 功 的 必要 条 件 是 工 ， pmax 全 到 一 二 T+! 其 中 一 次 试 


验 是 选择 一 对 具有 差分 a 的 明文 并 加 密 这 两 个 明文 。 数 据 复 杂 度 a 


2 
1 


prs 一 到 
由 不 等 式 (8. 34) 可 得 , 当 pa 三 3，2" 时 ,差分 密码 分 析 需 要 的 数据 几乎 是 所 有 
的 明文 空间 。 因 而 :, 若 pia 三 3*，2 ,就 称 此 迭代 分 组 密码 对 差分 密码 分 析 是 实际 安 
全 的 。 
这 里 仅 考虑 使 用 一 个 差分 进行 差分 密码 分 析 的 选择 明文 攻击 ,车 预先 知道 更 多 
高 概率 的 差分 , 则 差分 密码 分 析 有 更 有 效 的 攻击 算法 。 设 A 是 攻击 者 预先 知道 的 明 
文 差 分 集合 ,对 于 每 个 a€ A ,都 存在 一 个 高 概率 的 r 一 1 轮 差分 (a,B,)。 对 于 每 对 明 


CA 
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密 文 对 (X,Y(r)) 和 (X* ,Y* (Cr) :如果 X 和 X- 的 差分 是 a€ A, 则 利用 差分 (a,pB,) 
找 出 子 密 钥 K, (或 K, 的 部 分 比特 ) 的 所 有 可 能 值 , 并 在 相应 的 计数 器 上 加 1。 对 每 
对 这 样 的 明文 对 重复 上 述 操 作 , 若 子 密 钥 K, (或 K, 的 部 分 比特 ) 的 某 些 值 的 计数 明 
显 高 于 别 的 值 的 计数 , 则 这 些 值 被 当 作 实际 子 密 钥 K, 的 可 能 值 ,并 用 其 他 的 方法 对 
它们 做 进一步 检测 。 

假设 用 一 个 差分 的 差分 密码 分 析 需 要 T 个 选择 明文 ,|AI 王 N, 且 N 个 差分 具 


有 大 约 相同 的 概率 , 则 上 述 攻击 方法 所 需 的 选择 明文 大 约 为 一 个 


最 早 的 差分 密码 分 析 用 特征 的 概念 ,i 轮 特征 是 一 个 ;十 1 元 组 (ec,B ,8.), 它 
被 看 成 是 (AX,AY(1),…,AY(i)) 的 一 个 可 能 值 。1 轮 特 征 和 1 轮 差 分 是 一 样 的 ,而 
i 轮 特 征 只 是 i 轮 差 分 的 一 条 序列 。i 轮 特征 的 概率 定义 为 

P{AY(1) 一 及 ， Ss ,AYG) =B|AX= a) 
这 里 明文 X 和 子 密 钥 Ki,K;,…,K; 都 是 独立 .均匀 、 随 机 的 。 

由 于 在 对 轮 迭 代 分 组 密码 进行 差分 密码 分 析 时 ,为 了 确定 子 密 钥 K, 仅 需 要 
知道 AY(r 一 1) ,而 不 管 中 间 差分 AY(j) (1 三 二 rr 一 1) 是 什么 ,所 以 使 用 差分 (和 差 
分 概率 ) 比 特征 (和 特征 概率 ) 能 更 好 地 刻画 差分 密码 分 析 的 成 功 概率 。 不 过 在 分 
析 中 使 用 特征 和 特征 概率 更 实用 .原因 是 i 轮 特 征 的 概率 可 由 1 轮 特征 的 概率 容 
易 计算 出 。 

对 于 具有 独立 均匀 随机 的 轮子 密 钥 的 马尔 柯 夫 密码 ,r 轮 特征 (Bo ,Bl,…,B,) 的 
概率 由 下 面 的 C-K 方程 给 出 : 

P{AY(1) =B,AY(2) =pB,.…,AY(i) =p,| AX=pB,} 


-I Ptara? -al1ax= Bi 
由 等 式 (8. 33) 可 得 ， r 轮 差 分 (Bo ,B,) 的 概率 是 
P{AY(r)=B,|AX=p,} 


= 之 之 a (AY(1D = | AX SR} 


名 一 
这 里 和 式 是 所 有 可 能 的 非 么 元 求 和 
对 于 迭代 分 组 密码 的 差分 密码 分 析 , 确 定 差分 的 概率 是 很 重要 的 。 对 于 马尔 柯 
夫 密码 ,这 种 概率 由 它 的 转移 矩阵 唯一 确定 。 值 得 说 明 的 是 ,在 对 轮 和 迭代 分 组 密码 
进行 差分 密码 分 析 时 ,有 时 并 不 需要 ~ 一 1 轮 的 高 概率 差分 ,可 能 更 短 轮 的 高 概率 差 
分 就 可 以 满足 攻击 需求 :这 要 依据 具体 的 分 组 密码 而 分 析 。 
8.6.2 马尔 柯 夫 密码 的 安全 性 
和 迭代 分 组 密码 的 安全 性 是 基于 :一 个 密码 上 的 * 强 ”函数 可 通过 迭代 密码 上 的 
“ 弱 ” 函 数 足 够 多 次 来 得 到 。 下 面 的 结果 表明 ,满足 某 些 特性 的 马尔 柯 夫 密码 , 迁 代 将 


产生 能 够 抵抗 差分 密码 分 析 的 安全 密码 。 
定理 8.6.3 对 于 具有 独立 均匀、 随机 子 密 钥 的 分 组 长 度 为 的 马尔 柯 夫 密 
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码 , 若 马尔 柯 夫 链 和 AX 二 AY(0) ,AY(1),… 具 有 遍历 性 , 则 它 的 极限 分 布 必 定 是 均匀 
分 布 , 即 对 任意 非 么 元 差分 (a,B) 式 (8. 35) 成 立 , 即 
1 


limP{AY(r) = Bl| AX 一 中 一 款 二 1 (8. 35) 


若 青 假设 随机 等 价 假设 成 立 , 则 经 过 充分 多 的 迭代 ,该 马尔 柯 夫 密 码 能 抵抗 差分 密码 
分 析 。 

证 明 : 由 定理 8.4.1 可 知 具 有 遍历 性 的 有 限 齐 次 马尔 柯 夫 链 具有 唯一 的 极限 分 
布 ,而且 极 限 分 布 也 是 它 的 平稳 分 布 。 又 由 定理 8. 5. 1 可知 它 的 平稳 分 布 是 均匀 分 
布 , 所 以 对 于 任意 非 么 元 差分 (ec:B) 式 (8. 35) 成 立 。 

由 定理 8. 4. 1 和 定理 8. 4. 2 可 知 , 若 马尔 柯 夫 密码 的 差分 链 是 不 可 约 的 和 非 周 
期 的 , 则 它 一 定 满足 式 (8.35)。 差 分 链 是 非 周 期 的 一 个 充分 条 件 是 存在 a, 使 得 形 如 
(a,a) 的 1 轮 差分 具有 非 0 概率 。 对 于 差分 链 是 不 可 约 性 有 以 下 的 结论 。 

定理 8.6.4 对 于 定理 8. 5.2 所 示 的 马尔 柯 夫 密 码 , 差 分 链 是 不 可 约 的 当 且 仅 
当 对 每 个 明文 对 (X,X" ) 及 每 个 密 文 对 (Y,Y* ) ,都 存在 整数 r。 和 ro 个 子 密 钥 的 一 
种 选择 ,使 得 rm 轮 加 密 将 X 加 密 为 了 ,将 X* 加 密 为 Y* 。 

证 明 : 轮 函 数 具有 形式 : 

f(X,2) = g(X © Zh, Za) 

其 中 四 是 定义 差分 的 群 运算 。 令 S=X@Zh 和 S* 一 X ZY, 则 AS==AX。 

假设 差分 链 是 不 可 约 的 ,对 于 给 定 的 明文 对 (X,X*) 和 密 文 对 (Y,Y*), 令 
a 二 XC@X" ,B 二 YO9Y* ,由 不 可 约 性 可 知 , 存 在 ro 使 得 

P{AY(ro) =B| AS=a} = P{AY(r) =B|AX=a}>0 

它 意味 着 存在 子 密 钥 Z8? ,2Z 和 8 ,2Z 名 , ,Zro) ,Z8o” 和 差分 为 a 的 S 和 S" ,使 得 在 这 
些 密 钥 下 ,S 被 加 密 为 Y、S* 被 加 窗 为 Y" 。 令 ZY 一 X-1@S, 由 于 AS 二 AX, 所 以 
S "一 X“ GZ 。 因 此 ,在 所 选 子 密 钥 Z 各 ,2Z 名 ,2Z 引 ,2 ，… ,Zo ,Z8o 下 ,明文 对 
(X,X" ) 将 产生 密 文 对 (Y,Y* ) 。 

道 是 显然 的 , 且 事 实 上 对 所 有 马尔 柯 夫 密码 均 成 立 。 

上 面 的 结论 显示 ,如 果 马 尔 柯 夫 密 码 的 差分 链 是 不 可 约 的 和 非 周 期 的 , 则 此 密码 
经 过 充分 多 轮 迭 代 将 能 抵抗 差分 密码 分 析 , 但 在 密码 算法 设计 中 ,由 于 实现 性 能 的 因 
素 , 往 往 对 迭代 轮 数 有 限制 。 下 面 利用 转移 矩阵 的 特征 值 给 出 马尔 柯 夫 密码 抵抗 差 
分 密码 分 析 所 应 迭代 的 轮 数 。 

设 书 是 马尔 柯 夫 密码 的 转移 矩阵 ,矩阵 王 的 特征 值 是 一 个 实数 1 ,关于 它 存在 一 
个 向 量 ( 称 为 的 特征 向 量 )Y 一 (uv ,… ,var_1) 使 得 VP 二 4V。 从 定理 8.4.1 可知， 
1 是 矩阵 了 的 一 个 特征 值 ,并 且 ( 示 上.… 友 二) 是 其 特征 向 量 ,由 关于 非 负 乱 阵 的 
Perron-Frobenius 定理 可 知 , 车 P 是 本 原 的 , 则 P 的 其 余 特 征 值 的 模 严 格 小 于 1, 并 
且 当 上 趋 于 无 限时 ,Pi (~) 一 元 二 [ 随 着 > 指数 地 趋 于 0。 假如 具有 第 二 大 模 的 特征 


值 * 的 重 数 是 to, 且 设 模 较 小 的 特征 值 的 重 数 至 多 为 to, 则 存在 一 个 常量 二 0 使 得 
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对 于 所 有 差分 对 (ae.B8) 均 有 
P{AY(r) 一 B1AX 一 中 去 二 wa (8. 36) 
进一步 ,利用 定理 8. 6.2 和 数据 复杂 度 的 上 界 为 2* 可 得 , 若 是 使 得 
arg | ha |® 去 去 Ce 97 


的 最 小 整数 , 则 对 所 有 r 二 ro ,经 过 7 轮 迭 代 后 ,马尔 柯 夫 密 码 实际 上 能 抵抗 差分 密码 
分 析 。 


S87 注入 


本 童 重点 介绍 了 一 些 在 信息 安全 尤其 是 在 密码 学 研究 中 常用 的 随机 过 程 方法 与 
技术 ,并 以 马尔 柯 夫 密码 为 例 介绍 了 随机 过 程 方法 与 技术 在 密码 学 中 的 应 用 。 其 上 日 
的 是 为 了 满足 信息 安全 领域 中 的 基本 应 用 而 选材 的 ,对 随机 过 程 感 兴趣 的 读者 可 进 
一 步 参 阅 文 献 L4 一 6] 。 
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1948 年 ,C.E. Shannon 在 贝尔 实验 室 技术 期 刊 上 发 表 了 题 为 “通信 的 数学 理论 ” 
一 文中 ,从 此 奠定 了 信息 论 的 理论 基础 。 次 年 , 即 在 1949 年 ,Shannon 又 在 同一 期 刊 
上 发 表 了 “保密 系统 的 通信 理论 ”一 文忠 ,于 是 又 奠定 了 对 现代 密码 学 的 系统 研究 的 
理论 基础 。Shannon 的 这 两 篇 论文 开辟 了 现代 通信 进而 保密 通信 的 科学 研究 方向 。 

Shannon 在 “通信 的 数学 理论 ”一 文中 ,通过 量化 度量 精确 描述 了 事件 的 信息 、 信 
和 事件 集合 ( 信 源 ) 的 信息 和 , 以 及 两 个 事件 ( 信 源 ) 之 间 的 条 件 信息 、 互 信息 等 。 通 
过 这 些 量化 描述 ,给 出 了 信 源 编码 定理 \ 信 道 容量 定理 和 信道 编码 定理 。 信 息 论 方法 
对 通信 中 信 源 编码 和 信道 编码 的 指导 意义 是 十 分 重要 的 。 除 此 之 外 ,信息 论 方法 对 
理论 密码 学 的 研究 也 有 着 重要 的 指导 作用 。 不 同 于 它 在 信 源 和 信道 编码 中 的 直接 指 
导 作 用 ,信息 论 方法 对 密码 学 的 指导 仅 限于 理论 保密 程度 的 度量 和 描述 ,而 理论 保密 
与 实际 保密 之 间 又 有 着 非常 微妙 的 关系 : 许多 实际 使 用 的 密码 体制 不 具有 理论 保密 
性 , 即 在 密 文中 包含 了 原始 消息 (明文 ) 的 全 部 信息 。 它 之 所 以 能 够 在 实际 中 使 用 ,是 
因为 要 想 从 密 文 中 提取 明文 信息 ,所 花 的 计算 代价 无 法 承受 , 即 许多 实际 中 使 用 的 密 
码 方案 是 计算 安全 的 。 另 一 方面 ,一 些 理论 保密 的 体制 ,如 Shannon 提出 的 一 次 一 
密 体制 ,在 实际 中 使 用 的 代价 太 大 ,因为 密 钥 协商 和 分 发 是 影响 其 应 用 的 关键 困难 ， 
特别 是 在 广泛 的 商业 应 用 中 更 是 如 此 。 当 然 ,实际 中 也 有 一 些 特殊 的 密码 体制 是 理 
论 保密 的 ,当然 它们 更 是 实际 保密 的 ,即使 攻击 者 将 来 在 计算 能 力 方 面 有 很 大 提高 ， 
对 理论 保密 的 体制 则 没有 任何 威胁 。 

本 章 主要 介绍 了 信息 论 的 基本 概念 和 人 性质 ,同时 讨论 了 信息 论 方法 在 信息 安全 
尤其 是 在 密码 设计 与 分 析 中 的 应 用 。 


9.1 事件 的 信息 度 


通信 中 人 们 关心 的 是 信 源 (也 称 为 发 信人 ) 和 信 宿 (也 称 为 收 信 人 ) 之 间 的 消息 传 
递 。 由 于 信道 可 能 造成 的 错误 ,使 得 收 信 人 所 收 到 的 消息 可 能 与 发 信人 所 传送 的 消 
息 不 同 ,通常 以 很 小 的 错误 概率 发 生 。 而 通信 的 过 程 就 是 收 信人 根据 所 接收 到 的 消 
息 来 恢复 发 信人 所 传送 的 消息 的 过 程 。 可 以 把 信 源 和 信 宿 看 作 两 个 随机 变量 , 信 源 
输出 的 符号 是 这 个 随机 变量 的 一 个 特殊 取 值 ,同样 信 宿 所 接收 到 的 符号 也 是 信 宿 这 
个 随机 变量 的 一 个 取 值 。 这 样 , 便 可 以 通过 随机 变量 来 研究 信 源 和 信和 宿 这 两 个 通信 
中 的 主体 。 

一 个 随机 变量 X 是 一 个 集合 ,其 中 的 任何 一 个 元 素 都 是 这 个 随机 变量 以 某 种 概 
率 的 可 能 取 值 ,所 有 这 些 概率 的 和 为 1. 因 为 当 该 随机 变量 输出 一 个 符号 时 , 它 一 定 
是 这 个 集合 中 的 符号 。 因 此 描述 随机 变量 不 能 简单 地 用 集合 表示 ,而 是 具有 概率 分 
布 的 集合 元 素 。 
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下 面 考虑 什么 是 信息 和 如 何 度量 信息 。 从 直观 上 讲 , 信 息 的 定义 很 难 恰当 地 给 
出 。 在 现实 中 ,信息 是 对 所 给 定 的 某 个 事物 (一 个 随机 变量 的 某 个 特定 取 值 或 状态 ) 
的 全 部 理解 的 总 和 。 如 看 到 某 人 发 悉 的 面孔 .你 可 能 会 猜测 到 某 些 东 西 , 这 些 猜测 就 
是 那个 人 的 面孔 所 提供 给 你 的 信息 。 但 这 并 不 是 信息 的 全 部 ,因为 你 提取 信息 的 能 
力 可 能 有 限 , 另 外 一 些 人 看 到 这 张 面孔 可 能 会 得 到 另外 的 信息 。 这 些 信息 的 总 和 就 
是 这 张 面 孔 所 提供 的 信息 。 但 是 ,对 于 这 样 的 信息 ,人 们 很 难 给 出 定量 的 度量 标准 ， 
更 难 确 定 它 们 的 总 和 。 幸 运 的 是 ,通信 中 所 处 理 的 消息 远 没 有 人 的 面孔 这 么 复杂 , 仅 
仅 是 简单 的 有 限 集合 的 符号 。 更 特别 地 ,考虑 的 随机 变量 可 能 只 取 0 和 1 这 两 个 值 ， 
这 样 一 来 ,就 容易 给 出 信息 的 度量 。 

定义 9.1.1 假定 某 随 机 变量 X 的 所 有 可 能 取 值 为 x;, i 二 1,2,…,n, 而 事件 
X 一 zi; 的 概率 为 P(x;)。 则 事件 X= 二 xz; 的 自信 息 (self-information) 定 义 为 


T(zi) = logs (BS )—— logs Ps) (9.1) 


根据 定义 9.1.1, 可 以 注意 到 下 列 问 题 : 

(1) 事件 的 概率 越 低 , 事 件 发 生 时 所 带 来 的 信息 越 多 ; 

(2) 计算 自信 息 的 公式 中 没有 给 出 对 数 的 底数 。 事 实 上 ,不 同 底数 的 对 数 之 间 
只 相差 一 个 常数 ,因此 原则 上 自信 息 可 以 使 用 任何 底数 计算 ,只 不 过 所 得 结果 的 单位 
不 同 。 通 常 取 2 为 底数 的 对 数 , 此 时 所 得 结果 的 单位 为 “比特 ”(bit) 。 

从 直观 上 来 看 ,也 能 体会 到 小 概率 事件 带 来 更 多 信息 这 一 特征 。 这 也 是 为 什么 
一 些 很 离奇 (因而 发 生 的 概率 很 小 ) 的 事情 一 旦 发 生 , 就 在 很 长 一 段 时 间 内 被 人 们 议 
论 , 而 一 些 很 平常 的 事情 (因而 发 生 的 概率 很 大 ) ,可 能 都 不 会 引起 别人 的 注意 。 下 面 
给 出 两 个 小 例子 计算 事件 的 信息 量 。 

例 9.1.1 投掷 硬币 可 能 出 现 两 种 结果 : 正面 朝 上 ( 即 事件 X 一 ze 发生) ,或 反 
面 朝 上 ( 即 事件 X 一 zi 发 生 )。 正 常情 况 下 有 P(Czo) 一 PCzi) 一 0.5, 因 此 该 信 源 的 每 
一 个 输出 所 含 的 信息 量 为 

T(Czi) =— logs P(x;) 一 一 logsz(0.5) = 1(bit), i= 0,1 (9. 2) 
上 述 例 子 说 明 ,在 投掷 硬币 时 ,每 一 次 投掷 结果 所 带 来 的 信息 量 都 是 1 比特 。 那 么 对 
投掷 多 次 的 情况 如 何 呢 ? 假定 每 一 次 投掷 都 是 独立 的 事件 , 即 任何 已 经 投掷 的 结果 
对 即将 进行 的 投掷 结果 没有 任何 影响 ,而 且 事件 所 发 生 的 概率 保持 不 变 。 

例 9.1.2 信 源 为 连续 投掷 硬币 mr 次 的 输出 结果 。 用 0 表示 正面 朝 上 ,1 表示 
正面 朝 下 ,zi 表示 第 ;次 的 投掷 结果 。 则 将 输出 结果 看 作 随 机 事件 X 时 ,X 的 状态 
可 以 为 zi1 ,xs，,… ,zm 的 任意 值 ,而 且 等 可 能 地 发 生 。 因 此 每 一 个 输出 结果 所 携带 的 
信息 为 


ITCzivzz Tn) =—=— logs P(x1 ,Ts ,°° Zn) 
=— logs [[ P(x;) =— logs (2™) = m(bit) (9. 3) 
i 二 1 


有 时 ,事件 之 间 不 是 独立 的 ,而 是 相互 影响 的 ,包括 不 同 随机 变量 的 状态 。 如 嘉 
欢 喝酒 的 人 可 能 比 不 喝酒 的 人 更 容易 吸烟 ,因此 喝酒 和 抽烟 这 两 个 随机 变量 之 间 存 
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在 着 某 种 微妙 的 联系 ,这 种 联系 虽然 不 能 很 确定 它 意味 着 什么 ,但 却 以 一 定 概 率 发 生 
影响 。 数 据 挖掘 的 目的 之 一 就 是 发 现 不 同事 件 (不 同 随机 变量 的 状态 ) 之 间 的 联系 并 
加 以 利用 。 下 面 所 考虑 的 不 是 同一 随机 变量 不 同 状态 之 间 的 联系 ,而 是 不 同 随机 变 
量 之 间 的 联系 ,并 假定 这 些 随机 变量 分 别 是 无 记忆 的 , 即 各 自 的 不 同 状态 之 间 没 有 任 
何 联系 或 影响 。 假 定 X 和 Y 是 两 个 随机 变量 ,它们 的 状态 分 别 取 自 有 限 集合 
{zi1sT2 "Tm} 和 (yi ,ys，"… ,yn}。 首 先 给 出 互信 息 的 定义 。 

定义 9.1.2 定义 事件 zx; 和 y; 之 间 的 互信 息 I(xi;yj) 为 


FTCzaiy) 一 log: (BY) 


其 中 P(xi | wi) 为 事件 y; 发 生 条 件 下 .事件 zx; 发 生 的 概率 。 特 别 地 , 当 满 足 
P(xzi|y;) 二 P(xz;), 即 事件 y; 的 发 生 不 影响 事件 x; 发 生 的 概率 时 , 称 事件 zx; 与 yj; 为 
独立 事件 。 

因为 在 事件 w 发 生 的 条 件 下 ,事件 zx; 发 生 的 概率 可 能 会 变 大 ,也 可 能 会 变 小 ， 
因此 互信 息 ICzxi;wj) 的 值 可 能 为 负 值 。 当 zx; 与 yj 为 独立 事件 时 ,它们 之 间 的 互信 
息 为 0。 


(9, a) 


上 述 互 信息 的 定义 考虑 的 是 事件 y; 发 生 条 件 下 .事件 zx; 发 生 的 概率 。 为 什么 
一 定 要 事件 y; 先 发 生 ,而 事件 x; 后 发 生 呢 ?如 果 它 们 发 生 的 次 序 刚好 相反 会 怎么 
样 呢 ? 事实 上 ,互信 息 的 定义 与 事件 发 生 的 次 序 无 关 。 根 据 概 率 等 式 P(A,B) 一 
P(A)P(CBIA) 王 PCB)P(CAIB) 可 以 得 到 

PCz | Pri|yP Pr _ Ply; | xi) 
P(xz:) Plan}Ply) PlayPly) PCy) 
因此 有 
T(zi3y;) log: ( 28 1) log: (TBH) IT(yjszxi) 中居 


式 (9.5) 说 明 互 信息 的 定义 与 事件 的 次 序 无 关 . 这 也 符合 我 们 的 直觉 , 即 事件 x; 的 发 
生 为 事件 y; 的 发 生 所 提供 的 信息 等 于 事件 y; 的 发 生 为 事件 zx; 的 发 生 所 提供 的 信 
息 。 下 面 考虑 两 种 特殊 情况 。 
假设 事件 xz; 与 事件 y; 独立 , 即 有 P(Czily) 王 PCz), 则 
TCzisy) = logs (2 直 > 
这 再 一 次 认证 了 独立 事件 相互 之 间 不 提供 信息 这 一 事实 。 
假设 事件 w 的 发 生 完全 确定 事件 rz; 的 发 生 , 即 PCzily ) 王 1. 则 有 


I(zisy;) log: (S$ ) log: (Bt ) TCzi) 
这 刚好 是 事件 x; 的 自信 息 。 这 可 以 理解 为 当 事 件 w 发 生 时 , 它 提供 了 关于 事件 zz; 
的 全 部 信息 。 
下 面 考虑 事件 的 条 件 自 信息 。 首 先 给 出 定义 。 
定义 9.1.3 在 事件 y; 发 生 的 前 提 下 ,关于 事件 x; 的 自信 息 称 为 条 件 自 信息 


(conditional self-information) ,表示 为 


) logz (1) 0 
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让 log, ( Be 5]) ls Pts | (9.6) 
根据 定义 9.1.3, 可 以 将 互信 息 写 为 


T(zxi;y;) 一 log> [3 


一 ITCzi) 一 TCzi | y;) 《9. 7) 
上 述 式 (9.7) 给 出 的 是 互信 息 、 自 信息 和 条 件 自信 息 之 间 的 联系 。 


)= logz: Pl(y; | zxi) — logzs P(xi;) 


9.2 随机 变量 的 信息 度量 


上 一 节 讨 论 的 是 随机 变量 的 某 些 特定 的 状态 ( 称 为 值 或 事件 ) 的 信息 度量 ,单独 
的 和 相互 的 。 作 为 这 些 所 有 可 能 事件 全 体 的 随机 变量 ,也 有 一 种 类 似 的 对 信息 的 度 
量 。 为 使 讨论 问题 简单 ,假定 所 讨论 的 随机 变量 的 状态 (或 这 些 事 件 ) 相 互 独立 , 即 一 
个 状态 的 出 现 不 影响 任何 另 一 个 状态 的 出 现 。 

定义 9.2.1 假设 随机 变量 X 和 YY 所 有 可 能 的 状态 分 别 来 自 有 限 集合 {zi， 
Zz Ta} 和 {yi yz sym}。 则 闫 与 Y 之 间 的 平均 互信 息 定义 为 


ICXsYY = SVS ply ey 


i=1 j=1 


-2 EP, )logs ( FES ) C9. 8) 
上 述 随 机 变量 的 互信 息 的 意义 可 以 理解 为 所 有 可 能 的 事件 对 (zi,y;) 的 互信 息 的 加 
权 平 均 , 而 权重 就 是 这 两 个 事件 共同 发 生 的 概率 。 容 易 证 明 下 述 性 质 成 立 。 

性 质 1: I(X;Y)==I(Y;X) 宇 0。 

性 质 2: 当 且 仅 当 X 与 了 统计 独立 时 ,有 ITCX;:Y) 一 ITCY;:X) 一 0。 

值得 注意 的 是 ,尽管 事件 的 互信 息 可 能 为 负 值 ,但 随机 变量 的 互信 息 不 可 能 为 负 
值 。 下 面 给 出 随机 变量 平均 自信 息 的 定义 。 

定义 9.2.2 随机 变量 X 的 平均 自信 息 为 


H(X) = 2) Pz) ICzi) =— 2) Plzi)logs Plzi) (9.9) 
1 一 1 i=1 


注意 上 述 对 随机 变量 平均 自信 息 的 表示 符号 为 HCX) ,而 不 是 类 似 于 事件 的 自信 息 ， 
是 因为 这 样 定 义 的 平均 自信 息 有 着 特别 的 意义 . 它 表示 一 个 系统 的 不 确定 程度 ,而 在 
统计 动力 学 中 表示 系统 不 确定 程度 的 量 称 为 系统 的 “ 炉 ”*(entropy)。 因 此 这 里 采用 
同样 的 符号 ,而 且 也 称 瓦 (X) 为 随机 变量 X 的 炉 。 

类 似 地 ,把 条 件 平均 自信 息 又 称 为 条 件 炉 . 定 义 如 下 。 

定义 9.2.3 随机 变量 X 对 于 Y 的 条 件 平均 自信 息 或 条 件 箭 定义 为 

(这 收入 二 as "Yi )logs Be er 3 

ed 
下 述 等 式 , 即 
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XSY) = H(X) = H(X |Y)= HOOD — HOY | X) C9 11» 
由 上 述 性 质 1 可 得 到 及 (X) 宇 H(XIY)。 对 此 不 等 式 的 解释 是 : 对 Y 的 观察 不 会 增 
加 X 的 不 确定 性 ( 炉 )。 注 意 这 与 对 个 别 事件 的 情况 是 不 同 的 ,因为 对 Y 的 某 个 事件 
yj 的 观察 结果 可 能 会 增加 对 X 的 某 个 事件 xz; 的 错误 判断 。 但 是 对 于 一 个 随机 变量 
来 说 ,对 其 他 随机 变量 的 观察 不 会 增加 其 不 确定 性 。 当 这 两 个 随机 变量 独立 时 ,对 一 
个 随机 变量 的 观察 也 不 会 减少 另 一 个 随机 变量 的 不 确定 性 。 


9.3 信 源 编码 定理 


度量 信息 的 目的 之 一 在 于 高 效率 地 用 数字 表示 信息 。 这 种 用 数字 或 符号 串 表 示 
信息 的 方法 就 是 信 源 编码 。 下 面 通过 一 个 小 例子 来 说 明 什么 是 高 效率 的 信 源 编码 。 
假定 要 表达 的 信息 是 3 种 天 气 情况 , 即 信 源 的 3 种 不 同 消息 分 别 为 “晴天 ”“ 阴 天 ”和 
“下 雨 ”。 当 然 分 别 用 这 些 对 应 的 中 文字 表示 信 源 的 不 同 消息 也 是 一 种 信 源 编码 方 
式 , 但 效率 非常 低下 。 我 们 知道 ,计算 机 在 存储 中 文字 时 ,每 一 个 中 文字 至 少 要 占用 
两 个 字 节 , 即 16 比特 的 存储 空间 。 这 样 表示 全 部 上 述 信 源 信息 需要 6 个 中 文字 , 即 
96 比特 的 存储 空间 。 通 过 观察 发 现 可 以 将 中 文 表示 分 别 简 化 为 “上 晴 ”“ 阴 ”和 “ 雨 ”， 
而 不 会 发 生意 义 含糊 的 情况 ,这 样 一 下 子 将 编码 效率 提高 了 1 售 , 即 只 用 48 比特 的 
存储 空间 就 可 以 记录 信 源 的 全 部 消息 。 但 是 这 仍然 不 够 理想 。 更 简单 的 方法 是 将 信 
源 消息 编号 ,将 每 个 编号 对 应 一 个 编码 。 对 上 述 3 个 消息 的 信 源 ,需要 对 编号 1、2、3 
进行 编码 ,可 以 分 别 用 01、10 和 11 表示: 即 它们 对 应 的 二 进 制 表示 。 这 似乎 已 经 很 
有 效 了 ,因为 只 用 了 6 比特 就 可 以 表示 全 部 信 源 消息 。 是 否 还 可 以 找到 更 高 效率 的 
编码 方式 呢 ? 即 是 否 能 使 用 少 于 6 比特 的 存储 空间 来 表示 所 有 消息 ? 下 面 简单 地 介 
绍 信 源 编码 ,这 个 问题 的 答案 可 以 从 下 面 的 介绍 中 得 到 。 

信 源 编码 的 目的 在 于 用 最 少 的 数据 资源 表示 出 所 期 望 的 信息 ,这 样 一 来 ,无 论 在 
通信 还 是 数据 存储 中 ,只 需要 处 理 这 些 编码 即 可 。 当 需要 恢复 信息 时 ,对 从 存储 介质 
中 获取 的 或 通信 信道 中 接收 到 的 码 子 序 列 对 应 到 原来 的 实际 信 源 信息 即 可 。 当 然 编 
码 的 规则 对 于 信息 恢复 者 来 说 应 该 是 公开 的 ,因为 这 里 还 不 涉及 信息 保密 问题 。 为 
了 能 从 码 子 序列 中 正确 地 恢复 原始 消息 ,编码 规则 应 满足 下 述 性 质 : 四 从 码 子 序列 
到 原始 消息 的 对 应 ( 即 译 码 ， 有 明确 的 规则 ; 四 在 码 子 不 发 生 错 误 的 情况 下 ,由 码 子 
序列 可 以 正确 恢复 原始 消息 ( 即 正确 译 码 )。 如 果 还 考虑 码 的 性 能 , 则 要 求 表示 同样 
的 信息 ,不 能 用 更 短 的 数据 ( 码 子 序列 ) 表 示 , 即 所 得 到 的 码 是 最 优 的 。 


9.3.1 定 长 信 源 编码 


假定 信 源 及 个 符号 ,将 它们 依次 赋予 序号 0,1,2,…,n 一 1, 然 后 对 每 个 序号 用 
等 长 的 二 进 制 表示 , 则 这 些 表示 的 全 体 就 是 一 种 编码 方案 。 为 了 使 编码 效率 最 高 , 必 
须要 求 这 些 二 进 制 表 示 的 长 度 最 短 。 对 于 nn 个 符号 ,容易 证 明 编 码 长 度 不 得 小 于 
k 一 [logzn 上, 其 中 [X 诸 示 不 小 于 X 的 最 小 整数 。 这 种 将 所 有 信 源 消息 都 编码 为 固定 
长 度 码 子 的 编码 方式 称 为 定 长 信 源 编码 。 
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定理 9.3.1 假定 信 源 XX 有 个 符号 。 将 nn 个 符号 的 序号 0,1,2,…,n 一 1 依次 
表示 为 长 度 为 k==[logzn 的 二 进 制 表示 ,是 一 种 最 优 的 等 长 信 源 编码 。 

证 明 : 需要 证 明定 理 9. 3. 1 中 给 出 的 编码 规则 满足 上 述 最 优 编码 的 性 质 。 首 先 
不 难 验 证 , 译 码 规则 是 将 所 获得 的 码 子 序列 按照 & 比特 截 段 ,然后 将 每 一 段 对 应 到 原 
始 消息 。 这 种 明确 的 译 码 规则 将 每 一 个 原始 信 源 消息 对 应 到 长 度 为 & 的 一 个 二 元 数 
组 ,在 码 子 不 发 生 错误 的 情况 下 ,显然 逆 过 程 也 正确 , 即 每 一 个 编码 中 的 二 元 数组 对 
应 唯一 的 信 源 消息 。 另 外 很 显然 ,不 能 用 少 于 & 的 二 元 数组 来 表示 信 源 消息 ,因为 所 
有 这 样 的 固定 长 度 的 二 元 数组 的 个 数 少 于 信 源 消息 的 个 数 , 即 对 于 所 有 + 一 kk, 有 
2 二 2。 这 就 证 明了 上 述 码 子 的 最 优 性 。 

当 二 2* 时 ,上 述 编 码 用 到 所 有 的 长 度 为 & 的 二 元 数组 。 但 是 当 nn 二 2* 时 ,只 用 
到 部 分 二 元 数组 。 如 果 不 考虑 编码 , 译 码 过 程 的 复杂 性 ,只 考虑 正确 性 的 话 , 在 此 情 
况 下 可 以 用 部 分 剩余 的 二 元 数组 替换 原来 的 一 些 码 子 , 于 是 得 到 另外 一 种 编码 方式 ， 
而 且 容 易 验 证 ,这 种 新 的 编码 方式 仍然 是 最 优 的 等 长 信 源 编码 。 不 难看 出 ,这 些 经 营 


换 得 到 的 编码 共有 | 个 ,包括 原始 编码 。 
n 


9.3.2 变 长 信 源 编码 


回 过 头 来 再 看 一 下 本 节 一 开始 的 例子 , 即 信 源 消息 共有 3 个 符号 “ 晴 ”“ 阴 ”和 
“十 >。 通过 对 它们 的 标号 0、1、2 编码 ,得 到 定 长 编码 的 码 子 分 别 为 00.01.10。 这 是 
不 是 最 优 的 码 子 呢 ?根据 定理 9. 4.1, 对 于 定 长 编码 ,它们 是 最 短 的 。 但 是 ,如 果 打 
破 定 长 的 限制 ,可 能 会 得 到 不 同 的 结果 。 比 如 将 前 两 个 码 子 分 别 变 为 0 和 1, 这样 总 
的 码 长 缩短 了 , 码 的 性 能 也 提高 了 。 接 下 来 的 问题 是 能 否 唯一 译 码 , 即 当 收 到 一 个 码 
子 序 列 时 ,假定 没有 发 生 错 误 , 能 否 唯 一 恢复 到 原始 消息 。 很 遗憾 , 当 要 恢复 的 码 子 
序列 是 10 时 , 它 有 可 能 表示 “ 雨 ”, 也 有 可 能 表示 “ 阴 ” 和 “ 晴 ”, 即 不 能 唯一 译 码 ,因此 
这 样 的 简化 不 可 用 或 没 意 义 。 如 果 只 将 第 一 个 码 子 变 为 0, 而 其 余 不 变 呢 ? 当 对 码 
子 序列 01010 进行 译 码 时 ,可 能 将 其 分 段 为 0 10 10., 然 后 译 为 * 晴 ”"“ 雨 "“ 雨 ”, 或 者 
将 其 分 段 为 01 01 0, 然 后 译 为 “ 阴 ”“ 阴 ”*“ 晴 ”。 看 来 这 种 简化 也 是 不 可 行 的 。 是 否 
存在 一 种 可 行 的 方式 将 码 子 总 长 度 变 短 呢 ? 再 看 另 一 种 方式 : 保持 前 两 个 码 子 不 
变 , 将 最 后 一 个 码 子 10 变 为 1。 对 于 这 个 小 例子 ,容易 看 出 可 以 唯一 恢复 原始 消息 。 
事实 上 ,只 要 对 码 子 序 列 按 次 序 查看 编码 表 , 只 要 得 到 一 个 合法 码 子 就 进行 译 码 ,这 
样 便 不 会 发 生 错 误 。 这 个 例子 说 明 , 变 长 编码 可 以 比 定 长 编码 变 得 更 高 效 ,当然 编码 
过 程 和 译 码 过 程 可 能 比 定 长 编码 更 为 复杂 。 

上 述 例 子 通 过 修改 定 长 编码 来 得 到 变 长 编码 时 之 所 以 能 或 不 能 唯一 译 码 , 关 键 
在 于 是 否 存在 某 些 码 子 是 另外 一 些 码 子 的 前 级 。 在 第 一 种 修改 中 ,01 变 成 了 1, 但 1 
是 最 后 码 子 10 的 前 级 ,因此 不 能 唯一 译 码 。 对 第 二 种 修改 .00 变 成 了 0, 但 0 是 第 二 
个 码 子 01 的 前 级, 因此 仍然 不 能 唯一 译 码 。 而 第 三 种 修改 将 10 变 为 1, 但 1 不 是 任 
何其 他 两 个 码 子 的 前 级 ,因此 可 以 正确 译 码 。 这 种 没有 一 个 码 子 是 男 一 码 子 前 缀 的 
信 源 码 称 为 前 级 码 。 如 果 将 所 有 码 子 逆向 写 , 则 前 级 码 就 变 成 了 后 缀 码 ,它们 具有 同 
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样 的 性 质 ( 唯 一 可 译 性 和 码 的 效率 等 )。 为 此 ,只 需要 讨论 前 级 码 即 可 。 
对 于 一 个 前 缀 码 ,假设 各 信 源 符号 的 编码 长 度 依次 为 Li 二 L; 二 … 三 L,, 则 一 定 
满足 下 述 不 等 式 ( 称 为 Kraft 不 等 式 ), 即 


| (9. 12) 
i=1 


变 长 信 源 编码 的 更 多 优势 在 于 当 信 源 消息 的 概率 分 布 已 知 时 。 对 定 长 信 源 编码 
来 说 , 信 源 消息 的 概率 分 布 没有 任何 影响 ,这 样 大 概率 消息 和 小 概率 消息 占有 相同 长 
度 的 码 子 ,因此 会 造成 浪费 。 而 变 长 信 源 编码 可 以 将 信 源 消息 的 概率 分 布 充 分 利用 ， 
使 得 信 源 输出 消息 对 应 的 码 子 序 列 平均 长 度 最 短 。 下 面 介 绍 一 种 著名 的 变 长 信 源 编 
码 算 法 一 一 Huffman 编码 。 


算法 9.3.1 (Huffman 信 源 编码 算法 ) 
假设 信 源 符号 x; 的 出 现 概 兴 为 P(ri) ,i 一 1,2,…,n, 则 编码 步骤 如 下 。 
(1) 将 信 源 符号 按 概率 递减 次 序 由 上 至 下 排列 。 
(2) 将 最 下 面 的 两 个 符号 连接 在 一 起 ,并 分 别 对 两 个 分 支 标记 为 0 和 1。 将 
它们 的 概率 和 作为 一 个 新 符号 的 概率 。 重 新 选取 最 小 两 个 概率 的 符 
号 ,重复 上 述 连接 编码 方法 。 
(3) 将 此 过 程 进行 下 去 ,直到 只 剩 下 一 个 概率 (应 该 等 于 1), 这 就 完成 了 
Huffman 树 的 构造 。 
对 任何 符号 ,找到 其 到 最 后 节点 的 一 个 路 径 , 再 沿 反 方向 记 下 分 支 标 号 ,就 是 该 
符号 的 码 子 。 
下 面 给 出 一 个 例子 说 明 Huffman 编码 是 如 何 进行 的 。 
例 9.3.1 假设 信 源 X 有 7 个 符号 zz zy, 它们 的 概率 分 别 为 0. 37、 
0.33、0.16、0.07、0.04、0.02、0.01。 首 先 根据 算法 9. 3. 1 建立 Huffman 树 ,如 图 9.1 
所 示 。 


9.1 Huffman 树 


根据 Huffman 编码 算法 的 第 (2) 步 , 沿 Huffman 树 的 最 后 节点 到 每 个 符号 的 路 
径 的 标号 就 是 该 符号 的 码 子 ,于 是 得 到 信 源 符号 zk zz、……、 zy 对 应 的 码 子 分 别 为 0、 
10、110、1110、11110、111110、111111。 这 个 看 上 去 不 怎么 好 的 编码 ,对 于 这 个 特定 概 
率 分 布 的 信 源 , 却 是 最 优 的 。 

由 于 Huffman 编码 过 程 中 给 Huffman 树 的 任何 两 个 分 支 分 配 标记 符号 0 和 1 
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时 是 随机 的 ,因此 Huffman 编码 不 是 唯一 的 ,但 它们 的 性 能 是 相同 的 , 即 每 个 符号 对 
应 的 码 子 的 长 度 是 相同 的 ,而 且 都 是 前 组 码 。 


9.3.3 信 源 编码 定理 


既然 信 源 编码 的 目的 是 用 尽量 少 的 比特 数 来 表示 信 源 消息 (或 信 源 符号 ) , 当 信 

源 各 符号 出 现 概率 不 同时 ,应 该 考虑 在 一 定编 码 方式 下 ,每 个 信 源 符号 平均 所 占用 的 

码 子 长 度 ( 比 特 数 )。 假 定 信 源 符号 zx; 的 出 现 概率 为 P(xi), 该 符号 的 码 子 长 度 为 
L(xzi) , 则 信 源 符号 平均 所 占 的 比特 数 为 

R= SCIP (9. 13) 


Shannon 从 理论 上 给 出 了 对 离散 无 记忆 信 源 的 变 长 编码 的 平均 码 长 所 能 达到 的 
理论 区 间 , 即 下 面 著名 的 信 源 编码 定理 。 

定理 9.3.2( 信 源 编码 定理 ) 设 X 为 离散 无 记忆 信 源 (DMS) 的 字母 集合 ,其 有 
限 入 为 了 H(X) ,而 其 输出 符号 二 的 出 现 概率 为 PCri) ,i 二 1,2,…,n, 则 存在 满足 前 级 
条 件 的 码 ,其 平均 码 长 满足 不 等 式 

H(X) <RE<HX)+1 (9. 14) 

上 述 信 源 编码 定理 说 明 : 用 来 表示 信 源 符号 的 平均 最 小 比特 数 必须 至 少 等 于 该 
信 源 的 焙 。 该 定理 同时 也 说 明 ,一 个 高 炉 (不 确定 性 ) 的 信 源 必须 用 更 多 比特 数 来 表 
示 信 源 符号 。 

前 面 Huffman 编码 的 信 源 符号 集合 为 {zi ,xs，… ,Xx1), 各 符号 的 出 现 概率 分 别 为 


党 
0. 37、0.33、0.16、0.07、0.04、0.02.0.01。 则 信 源 炉 为 HCX) = 一 >) PCz,)logs P(zi) 一 
2. 1152(bit) 。 而 通过 Huffman 编码 后 的 平均 每 个 符号 的 码 子 长 度 ( 比 特 数 ) 为 


RE 7 
R = >》) 工 (zi) PCzi) 1(0. 37) 十 2(0. 33) 十 3(0. 16) 


上 4(0.07) 十 5(0.04) 十 6(0.02) 十 6(0.01) 
一 2. 1700Cbit) 

信 源 编码 定理 说 明 , 任 何 有 效 编码 的 平均 码 子 长 度 不 小 于 信 源 焙 。 平 均码 子 长 
度 越 接近 信 源 炉 ,说 明 编 码 效 率 越 高 。 定 义 编码 效率 为 信 源 炉 与 平均 码 子 长 度 的 比 
值 ( 商 ), 即 w=H(X)/R。 上 例 的 编码 效率 为 7? 一 2. 1152/2. 17 一 0. 9747。 虽 然 这 个 
值 小 于 1, 但 已 经 很 接近 理论 最 优 值 了 。 而 在 实际 中 ,按照 单个 信 源 符号 的 信 源 编码 
不 可 能 再 提高 编码 效率 ,除非 考虑 对 信 源 符号 进行 组 合 的 编码 方式 。 对 这 种 方法 这 

里 就 不 再 介绍 了 。 


9.4 密码 体制 的 理论 安全 性 


所 谓 密码 体制 .是 这 样 一 个 系统 , 它 包 括 明 文 空间 , 即 所 有 可 能 的 被 加 密 消息 的 
集合 M, 密 文 空间 , 即 所 有 可 能 的 明文 加 密 后 的 消息 的 集合 C, 和 从 M 到 C 的 一 些 一 
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对 一 映射 的 集合 。 这 些 映射 由 一 个 称 为 密 钥 的 参数 控制 ,因此 密码 体制 的 男 一 重要 
元 件 是 密 钥 空间 , 即 所 有 可 能 的 密 钥 的 集合 K。 每 一 个 密 钥 确定 从 M 到 C 的 一 个 一 
对 一 映射 ,而 且 由 这 个 密 钥 还 可 以 唯一 确定 该 映射 的 逆 映 射 , 即 从 C 的 某 个 子 集 到 
M 的 一 对 一 映射 。 这 些 由 密 钥 确定 的 映射 有 时 被 描述 为 从 M 到 C 的 一 个 一 对 一 映 
射 , 只 不 过 在 实际 确定 映射 时 需要 密 钥 来 调整 该 映射 ,使 得 同一 消息 在 不 同 密 钥 下 对 
应 的 像 可 能 不 同 。 习 惯 上 ,把 消息 集合 M 中 的 元 素 称 为 明文 ,把 加 密 后 的 消息 集合 
C 中 的 元 素 称 为 密 文 , 把 这 个 从 M 到 C 的 映射 称 为 加 密 算 法 瓦 ,而 参与 到 加 密 过 程 
中 的 开 中 的 某 个 元 素 称 为 加 密 密 钥 。 当 加 密 密 钥 AE K 确定 后 ,从 M 到 C 的 加 密 映 
射 也 就 确定 了 。 习 惯 上 ,把 这 一 特定 的 映射 记 为 c 一 Ex(Cmz) ,这 就 是 对 M 中 消息 的 一 
个 具体 加 密 算法 。 对 应 地 ,解密 算法 是 从 C 到 M 的 一 个 映射 ,严格 地 说 是 从 C 的 某 
个 子 集合 到 M 的 映射 , 记 为 m 二 Di(c) .这 就 是 对 应 的 解密 算法 。 因 为 解密 算法 是 加 
密 算法 的 逆 过 程 ,因此 有 时 为 比较 方便 ,也 将 解密 算法 记 为 m 二 Er? (c)。 

密码 体制 的 安全 性 在 于 当 敌 手 获取 到 部 分 密 文 时 ,是 否 有 能 力 得 到 它们 对 应 的 
原始 消息 。 在 实际 应 用 中 ,从 密 文 恢复 原始 明文 需要 大 量 计算 ,因此 计算 能 力也 是 稀 
量 密码 体制 安全 性 的 一 个 重要 标准 。 但 是 ,敌手 的 计算 能 力 是 随时 间 和 科技 进步 的 
发 展 而 发 生变 化 的 ,如 果 敌 手 在 计算 能 力 上 发 生 突 变 , 则 建立 在 计算 复杂 性 假设 上 的 
密码 体制 可 能 会 变 得 不 再 安全 。 有 时 为 了 讨论 一 个 密码 体制 的 理论 安全 性 ,假定 敌 
手 或 密码 分 析 者 具有 无 限 的 计算 能 力 。 这 个 假设 虽然 不 很 实际 ,但 敌手 的 计算 能 力 
以 不 确定 的 速度 发 展 这 一 事实 可 以 从 某 种 程度 上 说 明 假设 是 合理 的 。 另 外 还 要 假设 
敌手 或 密码 分 析 者 知道 加 密 算 法 玉 , 但 不 知道 加 密 过 程 中 使 用 的 密 钥 。 这 一 假设 在 
早期 密码 工具 被 军事 垄断 的 时 代 被 认为 不 很 合理 ,因为 没有 谁 愿意 把 自己 设计 的 密 
码 算法 泄漏 给 敌手 。 但 在 今天 的 电子 商务 安全 方面 ,这 一 假设 是 必要 的 ,而 且 许 多 事 
实 表明 ,通过 保护 加 密 算法 来 增加 系统 的 安全 性 是 很 难 成 功 的 。 一 个 很 具有 代表 性 
的 例子 就 是 用 于 GSM 手机 系统 的 A3 和 A5 加 密 算 法 ,它们 本 来 被 设计 成 不 公开 的 
算法 ,但 莫名 其 妙 地 被 公布 到 Internet 上 ,于 是 变 成 了 公开 算法 。 因 此 假定 加 密 算法 
公开 是 合理 的 ,也 是 必要 的 。 


9.4.1 纯粹 密码 系统 


对 每 一 个 kEK ,加密 算 法 Ei Gm) 是 从 M 到 C 的 一 个 一 对 一 映射 。 为 书写 方便 ， 
记 人 一 EC(。), 其 输入 是 来 自 M 的 消息 。 同 样 记 解 密 算法 为 Ti! 一 D:(，)。 下 面 
介绍 纯粹 密码 系统 。 

定义 9.4.1 如 果 一 个 密码 系统 的 加 解密 算法 满足 : 对 任意 T;、Tj、Ti ,总 存在 
T,, 使 

UY i (9. 15) 

则 该 密码 系统 称 为 纯粹 密码 系统 (pure cipher) 。 

尽管 纯粹 密码 系统 不 要 求 消息 空间 M 与 密 文 空间 C 相同 ,但 可 以 根据 纯粹 密码 
系统 构造 消息 空间 M 到 自身 的 映射 .并 研究 这 些 映射 的 性 质 。 

定理 9.4.1 在 一 个 纯粹 密码 系统 中 ,变换 TP1T; 是 消息 空间 M 到 自身 的 映 
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射 。 所 有 这 些 映射 的 全 体 连同 映射 的 乘法 运算 , 即 映射 的 合成 ,构成 一 个 m 阶 群 ,其 
中 x 是 密 钥 个 数 , 即 从 M 到 C 的 全 体 映射 的 个 数 。 

证 明 : 映射 的 合成 指 一 个 映射 的 像 作为 男 一 个 映射 的 原 像 。 首先 证 明 形 式 为 
TPIT); 的 M 上 的 映射 的 集合 对 映射 合成 满足 封闭 性 。 事 实 上 ,对 任意 T7'T， 和 
T 记 Ti, 根 据 式 (9.15) 得 TT)TAIT, 王 To?'T,, 因 此 映射 运算 的 封闭 性 成 立 。 对 任 
意 形 式 为 TPIT; 的 M 上 的 映射 ,存在 映射 T7'T;, 使 TPIT;,T7'T; 二 1, 其 中 TIT 是 M 
上 的 恒 等 映 射 , 即 映射 集合 的 单位 元 。 这 说 明 单 位 元 存在 ,同时 也 说 明 任 何 形式 为 
TPIT; 的 M 上 的 映射 存在 逆 元 素 。 另 外 容易 验证 结合 率 成 立 。 因 此 定理 结论 成 立 。 

为 了 增加 安全 性 ,自然 会 想到 使 用 多 个 密码 。 把 使 用 多 个 密码 得 到 的 最 终结 果 
称 为 这 些 密码 的 乘积 。 更 具体 地 ,两 个 密码 的 乘积 是 指 一 个 密码 加 密 的 结果 作为 另 
一 个 密码 的 输入 。 对 纯粹 密码 的 乘积 ,有 下 述 结论 。 

定理 9.4.2 两 个 可 交换 的 纯粹 密码 的 乘积 仍 是 一 个 纯粹 密码 。 

证 明 : 假设 和 尺 分 别 是 两 个 密码 的 全 体 映 射 集 合 。 因 为 了 和 尺 可 交换 ,运算 
TR 有 意义 ,说明 械 的 像 空间 正好 是 R 的 原 像 空间 ,RT 有 意义 说 明 R 的 像 空间 正好 
是 T 的 原 像 空 间 。 而 TR 三 RT 则 说 明和 R 都 是 在 同一 空间 上 的 映射 。 因 为 工 和 
R 可 交换 , 即 对 任意 ij ,总 存在 ki, 使 TR; 二 RT 成立。 因此 

的 
= TR 
因此 工 与 R 的 乘积 密码 是 一 个 纯粹 密码 。 

图 9. 2 所 示 是 一 个 纯粹 密码 的 例子 。 注 意 在 所 有 密 钥 作用 下 ,明文 被 分 成 了 不 
同 的 组 Mi NM 和 Ms .而 密 文 被 分 成 了 对 应 的 组 CC 和 C3。 从 M; 的 任意 消息 到 
C; 的 任意 密 文 之 间 有 一 条 连 线 .表明 存在 一 个 密 钥 将 该 消息 加 密 成 对 应 的 密 文 。 而 
在 Mi 与 Cj(i 了 站 之 间 不 存在 任何 连 线 。 把 这 样 的 消息 分 类 称 为 消息 剩余 类 ,而 把 
密 文 的 对 应 分 类 称 为 密 文 剩 余 类 。 

消息 剩余 类 _ ， 密 文 剩余 类 


ml 


mM) e< 


CGI 


】 
“md | 
4 一 
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定理 9.4.3 在 一 个 纯粹 密码 系统 中 ,消息 可 以 被 分 成 不 同 的 “消息 剩余 类 ”Mi ， 
Ma AM, ,而 密 文 也 可 以 分 成 对 应 的 “ 密 文 剩余 类 ”Ci ,Cs ,…,C,, 且 满足 下 述 性 质 : 


(1) 对 ij, 有 Mi 由 Mj 二 名, 其 中 必 为 空 集 , 且 M 一 UU wa 为 全 部 消息 空间 ， 


(2) 任意 密 钥 对 M; 中 消息 加 密 的 结果 为 C， 中 的 密 文 ， 反 过 来 ,对 C; 中 任意 密 
文 的 解密 结果 是 M; 中 的 消息 ; 
(3) 记 M; 中 的 消息 数 为 pg; 二 1Mi|, 则 |Ci| 二 pi， 且 9 是 1K;| 的 一 个 因子 ， 


(4) ML 中 任意 消息 都 可 以 通过 | 用 种 密 钥 加 密 为 C， 中 的 任意 密 文 。 对 解密 有 


类 似 结果 。 

为 了 描述 方便 ,习惯 上 称 消息 自然 发 生 的 概率 为 先 验 概率 ,而 在 其 他 消息 发 生 后 的 
条 件 概率 称 为 后 验 概率 。 纯 粹 密码 的 概念 在 于 使 用 任何 密 钥 加 密 都 基本 上 是 相同 的 ， 
即 没有 理由 说 哪些 密 钥 比 其 他 的 更 好 。 对 消息 的 选取 也 是 如 此 。 不 管 使 用 哪个 密 钥 
也 不 管 对 哪个 消息 加 密 , 加 密 后 密 文 消息 的 概率 都 是 相等 的 。 为 了 说 明 这 一 点 ,注意 对 
同一 个 明文 消息 , 当 使 用 不 同 密 钥 进行 加 密 时 ,得 到 不 同 的 密 文 ,但 它们 属于 同一 个 密 


文 剩余 类 ,不 妨 假设 为 C 。 根 据 定理 9.4. 3, 这 两 个 密 文 分 别 可 以 用 -二 -个 密 钥 解密 到 


Mi 中 的 消息 。 所 有 密 钥 都 等 可 能 地 使 用 ,因此 消息 mx€ M; 的 后 验 概率 为 
Plm)Plc|m) _ Plm)Ple | m) _ POn) 

已 (c) 3 出 Plm)Ple | m) POM:;) 
其 中 cEC;。 这 个 后 验 概率 显然 与 密 文 c 无 关 , 只 与 m 的 先 验 概率 及 M; 的 大 小 有 关 。 
类 似 地 可 以 证 明 , 密 钥 的 后 验 概率 也 不 会 改变 。 因 此 得 到 以 下 定理 。 

定理 9.4.4 一 个 纯粹 密码 系统 中 消息 的 后 验 概率 PCm|c) 与 所 选用 的 密 钥 无 
关 ; 密 钥 的 后 验 概率 PC(k1c) 的 值 都 相同 。 

在 实际 应 用 中 ,通常 密 文 空间 与 明文 空间 相同 。 比 如 基于 26 个 英文 字母 表 的 代 
换 密码 就 是 明 密 文 空间 相同 。 容 易 证 明 , 所 有 对 26 个 英文 字母 的 置换 构成 一 个 纯粹 
密码 系统 ,其 密 钥 个 数 为 26! 二 4X10”。 除 个 别 小 的 例子 外 ,实际 使 用 中 的 密码 很 
难 满足 纯粹 密码 系统 的 条 件 。1985 年 Kaliski Jr. 等 人 中 对 数据 加 密 标准 DES 的 研 
究 发 现 ,DES 不 是 一 种 纯粹 密码 。 尽 管 实 际 中 很 少 设 计 出 纯粹 密码 ,甚至 验证 一 个 
密码 系统 是 否 为 纯粹 密码 的 过 程 本 身 就 很 难 完成 ,纯粹 密码 以 及 其 性 质 对 实际 密码 
设计 还 是 起 到 重大 的 指导 作用 。 


9.4.2 完备 密码 系统 


当 一 个 纯粹 密码 系统 只 有 一 个 消息 剩余 类 从 而 也 只 有 一 个 密 文 剩余 类 时 ,根据 
式 (9.16) .此 时 PCM;) 为 消息 空间 的 概率 ,当然 为 1, 因 此 有 
Pm | c) = POm) 9. 17) 
定义 9.4.2 满足 等 式 (9.17) 的 密码 系统 称 为 完备 密码 系统 。 
根据 定义 9.4.2, 对 一 个 完备 密码 系统 , 当 观 察 到 任何 密 文 c 时 , 它 对 任何 明文 


PC | c) 一 《9.169 
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消息 的 后 验 概率 没有 任何 影响 。 根 据 互 信息 的 定义 ,对 任意 明文 消息 mE€ M 和 密 文 


消息 ce C. 都 有 TCmsc) 一 logs (学 名) 一 0, 这 说 明 任何 观察 到 的 密 文 <eC 对 猜测 


任何 可 能 被 发 送 的 明文 消息 mE€ M 不 提供 任何 信息 。 进 一 步 , 根 据 式 (9. 12) 可 得 到 
I(M;C) 一 0, 即 消息 空间 与 密 文 空间 可 以 看 作 两 个 统计 独立 的 随机 变量 。 

定理 9.4.5 一 个 密码 系统 是 完备 的 当 且 仅 当 对 任意 mEM 和 cEC, 都 有 

Pte |my} = Pe) (9. 18) 

证 明 : 对 一 个 完备 密码 系统 ,根据 定义 9.4.2 有 Plmlc)= 二 Plm)。 根 据 概率 等 
式 POm)P(clm) 二 PCc)P(mlc), 等 式 (9.18) 与 (9.17) 等 价 , 即 定理 得 证 。 

对 定理 9. 4.5 的 解释 是 ,对 一 个 完备 密码 系统 ,不 管 实际 加 密 的 是 哪个 明文 消 
息 , 在 不 同 密 钥 的 作用 下 ,任何 密 文 都 按照 固有 的 概率 (平均 发 生 概率 ) 发 生 。 注 意 到 
Plc |m) 二 2》) P(k), 因此 又 可 得 到 以 下 定理 。 


kEK 
Em =e 


定理 9.4.6 一 个 密码 系统 是 完备 的 当 且 仅 当 对 任意 cE€C, Plc | m) = 
2 P(k) 与 消息 m 无 关 。 


AEK 
Ek Cm =e 


记 消 息 的 个 数 为 n= 二 1M|, 密 钥 的 个 数 为 /= 二 1K|, 则 有 下 述 结论 。 

定理 9.4.7 一 个 完备 密码 系统 必须 满足 /三 n。 

证 明 : 用 反 证 法 。 假 定 /二 n。 设 co 为 一 个 有 效 密 文 , 即 P(co) 二 0, 则 存在 
lo (1 三 4 三 ) 个 消息 mxEM, 使 m 二 Di (co) 对 某 个 密 钥 RkEK 成立。 设 mo 为 不 满足 
关系 m= 二 Di(co) 的 一 个 消息 (共有 nn 一 lo 三 n 一 /三 1 个 这 样 的 消息 ), 则 有 

Plc |m)= >， P(E)= DP()=0 
kEK 


kED 
El (m0) =c0 


但 是 另 一 方面 ,根据 式 (9. 18) ,一 个 完备 密码 系统 应 满足 
Ples | mo) = Pe) > 0 

此 为 矛盾 。 故 定理 结论 得 证 。 

定理 9. 4.7 表明 ,一 个 密码 系统 要 满足 完备 性 , 即 满足 密 文 空间 与 明文 空间 的 互 
信息 为 零 ,所 需要 的 密 钥 个 数 必须 不 少 于 明文 的 个 数 。 但 确实 存在 密 钥 个 数 与 明文 
消息 个 数 相同 的 情况 。 下 面 来 看 一 个 最 简 表 9.1 加 密 结果 
单 的 完备 密码 系统 ,所 需要 的 密 钥 个 数 与 ”” 明 文 消息 | 密 钥 人 | 密 钥 B 
明文 消息 个 数 相 同 。 假 定 明文 消息 只 有 两 
个 消息 * 是 ”和 * 非 >. 经 过 信 源 编码 它们 分 
别 对 应 码 子 1 与 0。 所 使 用 的 密 钥 也 有 两 “ 非 ” 2 和 
个 , 即 A 与 B。 使 用 不 同 密 钥 时 的 加 密 结 
果 见 表 9. 1( 表 中 数字 为 密 文 ) 。 


9.4.3 ”密码 系统 的 含糊 度 和 唯一 解 距离 
完备 密码 系统 的 特点 在 于 密 文 不 泄漏 关于 明文 消息 的 任何 信息 。 如 果 仅 仅 根据 


“是 ” 0 E 
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获取 的 密 文 试图 破译 ,无 论 破 译 者 有 多 大 的 计算 能 力 .都 不 比 没有 得 到 任何 密 文 的 情 
况 有 任何 优势 。 但 是 ,正如 定理 9.4.7 所 证 明 的 ,实现 完备 密码 系统 的 必要 条 件 是 密 
钥 的 长 度 不 少 于 其 所 加 密 的 明文 消息 的 长 度 。 而 在 实际 应 用 中 ,由 于 密 钥 的 传输 代 
价 很 大 ,通常 希望 使 用 同一 密 钥 加 密 更 多 的 消息 ,至 少 所 加 密 的 消息 长 度 大 于 所 使 用 
密 钥 的 长 度 。 根 据 定义 ,这 样 的 系统 一 定 不 是 完备 系统 ,因此 从 密 文 消息 中 一 定 可 以 
获得 关于 明文 的 某 些 信息 。 但 这 里 存在 两 个 问题 : 一 是 在 解密 过 程 中 ,即使 刚好 能 
正确 解密 ,比如 经 过 猜测 筛选 甚至 暴力 攻击 等 手段 测试 一 大 批 可 能 的 密 钥 ,测试 过 程 
也 测试 了 加 密 所 使 用 的 正确 密 钥 ,但 如 何 判 断 所 获取 的 明文 是 正确 的 ? 这 要 根据 破 
译 者 对 明文 空间 的 知识 来 解决 。 假 如 明文 空间 是 某 个 长 度 的 随机 数 ( 即 完全 不 确 
定 ), 则 即使 破译 成 功 , 破 译 者 也 不 知道 所 得 到 的 是 正确 的 明文 。 如 果 有 某 种 方法 可 
以 判断 解密 所 得 到 的 消息 是 否 为 正确 的 明文 消息 ( 即 完 全 确定 ), 则 可 以 正确 解密 。 
但 许多 时 候 破译 者 对 解密 的 结果 可 能 有 某 种 程度 或 信心 的 确定 。 另 一 个 问题 是 , 即 
使 当 由 密 文 恢复 出 正确 明文 时 破译 者 能 够 判断 是 否 正确 ,那么 由 密 文 得 到 对 应 明文 
的 过 程 可 能 因为 需要 大 量 计 算 而 变 得 不 现实 ,因此 仍然 具有 实际 保密 效果 。 现 代 许 
多 实际 密码 体制 都 是 根据 这 种 原理 。 

下 面 讨论 第 一 个 问题 ,因为 第 二 个 问题 实际 在 现代 密码 学 中 已 经 解决 了 , 即 在 设 
计 密 码 体 制 时 要 有 一 个 充分 高 的 破译 设计 复杂 度 。 首 先 来 看 一 个 简单 例子 : 假定 被 
加 密 的 消息 空间 是 标准 的 英文 文章 (由 正确 拼写 的 英文 单词 构成 ), 加 密 所 使 用 的 方 
法 是 恺 撤 密 码 ,即将 字母 表 依 次 循环 移 位 上 个 位 置 , 这 里 & 为 0 一 25 之 间 的 整数 。 当 
知道 这 种 密码 后 ,解密 所 需要 的 计算 就 是 测试 26 个 可 能 的 移 位 。 假 如 加 密 所 使 用 的 
密 钥 为 & 王 3, 即 字母 表 替 换 规律 为 A 一 D,B 一 E,…,Z 一 C。 则 消息 “creases to…” 被 
加 密 成 "FUHDVHV WR…”。 假 定 加 密 时 所 使 用 的 密 钥 是 完全 随机 选取 的 , 即 的 
值 可 以 等 可 能 地 为 0 一 25 之 间 的 任意 数 , 则 当 破 译 者 截获 到 密 文 “F” 后 ,可 以 等 可 能 
地 被 解密 为 26 个 英文 字母 中 的 任 一 个 。 因 此 所 截获 的 字母 对 判断 使 用 了 哪个 密 钥 
没有 任何 帮助 。 但 是 , 当 截 获 到 两 个 字母 “FU"* 后 ,因为 解密 后 有 26 种 双 字 母 组 合 的 
情况 ,其 中 不 少 组 合 在 英文 中 出 现 的 概率 为 零 . 因 此 可 以 排除 它们 所 对 应 的 密 钥 , 因 
此 对 密 钥 的 判断 增加 了 不 少 信息 。 随 着 所 截获 的 字母 的 增加 ,对 破译 密 钥 的 确信 程 
度 也 发 生变 化 ,而 且 很 快 达到 这 样 一 种 情况 : 其 中 的 某 一 种 组 合成 为 可 能 ,而 所 有 其 
他 情况 都 不 可 能 ,这 时 可 以 唯一 确定 解密 密 钥 。 图 9. 3 给 出 了 随 着 密 文 长 度 的 增加 ， 
破译 者 对 密 钥 判断 的 概率 分 布 。 这 一 概率 实际 为 已 知 密 文 情况 下 密 钥 的 条 件 概率 ， 
也 称 为 后 验 概率 ,在 此 例 中 与 明文 消息 的 来 源 直接 有 关 。 

从 图 9.3 可 以 看 出 , 当 截 获 的 密 文 达到 5 个 字母 时 . 便 可 以 唯一 确定 明文 消息 和 
密 钥 。 把 能 够 唯一 确定 明文 消息 的 最 短 密 文 长 度 ( 上 例 中 为 字母 个 数 ) 称 为 该 密码 的 
唯一 解 距离 (unicity distance)。 上 述 例子 中 当 截 获 到 5 个 密 文 字母 时 便 可 以 唯一 确 
定 正 确 消 息 ,但 如 果 所 加 密 的 是 其 他 消息 ,这 个 数字 也 许 更 小 或 更 大 。 这 里 讨论 的 唯 
一 解 距离 是 对 这 一 类 消息 源 ( 如 英文 报刊 文章 ) 的 最 大 值 。 当 截获 到 的 密 文 长 度 小 于 
唯一 解 距离 时 ,破译 者 不 能 唯一 确定 解密 消息 ,即使 具有 无 限 的 计算 能 力 。 直 观 上 ， 
随 着 所 获取 密 文 长 度 的 增加 ,那个 正确 明文 的 后 验 概率 似乎 越 来 越 大 ,而 且 也 越 来 越 


第 9 章 ”信息论 方法 与 技术 


224 


超过 其 他 可 能 的 明文 消息 的 概率 。 但 是 从 上 述 例 子 中 就 可 以 看 出 这 一 直觉 不 正确 。 
比如 当 截 获 的 密 文 长 度 为 3 时 ,有 3 种 可 能 的 明文 消息 (分 别 为 PERNF、LANJB 和 
TIVRJ) 都 比 正 确 明 文 的 后 验 概率 大 。 如 果 在 此 时 就 根据 经 验 概率 判断 的 话 ,很 可 能 


是 错误 的 。 

待 解密 文 N=1 N=2 N=3 N=4 
FUHDYV .029 .0189 

GVIEW .020 
HWITFX -153 .0063 

YR .063 .0126 

证 .001 

KZMIA .004 

LANJB .034 1321 . 2500 
MBOKC .025 .0222 
NCOPED .071 .1195 
ODQME .080 .0377 

PERNF .020 .0818 .4389 .6327 
QFSOG .001 

RGTPH .068 .0126 

SHUGQI .061 .0881 .0056 

TIVRI .105 .2830 .1667 
UJWSK .025 

bi .009 
WLYUM .015 .0056 
XMZVN .002 
YNAWO .020 

ZOBXP .001 

APCYO .082 .0503 

DZR .014 

CREAS .028 .08977 Ji .3673 
DSFBT .038 .0314 

TGCOU zt .0881 


图 9.3 


计算 : 


恺 撤 密 码 密 文 对 密 钥 后 验 概率 的 影响 


当 所 截获 的 密 文 长 度 小 于 密码 系统 的 唯一 解 距离 时 . 密 文 对 正确 密 钥 的 猜测 
既 能 提供 一 些 信息 ,但 又 不 能 完全 确定 。 当 考虑 某 一 消息 空间 的 一 般 消息 时 ,一 定 
长 度 的 密 文 对 密 钥 的 确定 所 提供 信息 的 多 少 称 为 该 密 文 长 度 下 密 钥 的 含糊 度 , 记 
为 HCK1C) .同样 也 可 以 定义 明文 的 含糊 度 五 CMIC) ,它们 分 别 可 以 用 下 述 公 式 


HK |C)= 2) PCC,K)logzP(K | C) 
CK 


HM|C)= >) PC,M)logsP(M | C) 


因为 含糊 度 实 际 为 条 件 灶 . 因 此 满足 条 件 精 的 一 些 性 质 。 Shannon 在 其 文献 [2] 中 详 
细 研 究 了 含糊 度 的 许多 性 质 。 这 里 引用 几 个 结果 ,目的 在 于 进一步 讨论 唯一 解 距离 。 


(9 193 


(9. 20) 
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这 些 结果 的 证 明 可 以 在 文献 [2j 中 找到 ,因此 这 里 不 再 歼 述 。 

定理 9.4.8 对 纯粹 密码 系统 ,假定 其 密 文 消息 剩余 类 分 别 为 Ci,C;,…,C,， 
则 有 
PCG 
区 el 

纯粹 密码 系统 是 一 类 具有 良好 密码 学 特性 但 很 少 在 实际 中 用 到 的 系统 。 实 际 中 
使 用 的 是 复杂 的 变换 ,在 没有 密 钥 信息 的 情况 下 ,从 明文 到 密 文 的 变换 规律 很 难 寻 
找 。 但 许多 时 候 , 这 些 看 上 去 非常 复杂 的 变换 , 却 泄 漏 从 明文 到 密 文 的 某 些 统计 特 
性 ,这 就 导致 建立 在 统计 特性 上 的 密码 分 析 成 为 可 能 ,比如 相关 攻击 就 是 这 样 一 类 使 
用 明文 、 密 文 之 间 统 计 特性 的 攻击 方法 。 

为 了 方便 讨论 唯一 解 距离 ,需要 引入 两 个 新 概念 。 对 一 个 信 源 X, 用 HC(X) 表 示 
它 的 平均 自信 息 或 炉 ,其 反映 的 意义 是 该 信 源 的 不 确定 程度 。 根 据 炉 的 计算 公 
式 (9.10) , 当 信 源 中 各 符号 出 现 的 概率 完全 相同 时 , 信 源 箭 达到 最 大 , 即 Hx (X) 二 


H(K | C) = H(K)+ HM 十 >)PCC)logs (C9: 21) 
一 


logs ] 寺 [一 一 logs |X|。 实 际 信 源 刀 与 最 大 信 源 炉 的 比值 = 十 于 总称 为 信 源 的 相 
对 粹 ,而 R 一 1 一 A 一 1 一 却 (2%; 称 为 信 源 的 元 余 度 。 容易 看 出 , 当 HCX) 一 


且 wax( 久 ) , 即 信 源 达到 最 大 不 确定 性 时 ,其 元 余 度 为 0; 而 当 五 CX) 王 0, 即 信 源 没有 不 
确定 性 时 ,其 元 余 度 为 1。 在 英文 中 ,由 于 不 同 字 母 出 现 的 概率 不 同 ,其 信 源 炉 达 不 
到 最 大 值 ,因此 信 源 有 元 余 度 。 根 据 图 9. 3 给 出 的 单个 英文 字母 出 现 的 概率 ,可 以 很 
容易 计算 出 英文 字母 表 作 为 信 源 的 元 余 度 。 如 果 考 虑 英文 所 有 单词 构成 的 信 源 ,其 
元 余 度 就 更 大 , 据 有 关 数 据 表 明 .英文 语言 存在 的 元 余 度 在 70% 一 80% 之 间 。 信 源 
的 元 余 度 降低 了 信息 的 传输 速率 ,但 提高 了 对 传输 中 所 发 生 错 误 的 纠 错 、 检 错 能 力 。 
纠 错 编码 的 原理 就 是 通过 增加 信 源 的 元 余 度 来 获取 纠 错 、 检 错 能 力 的 。 

如 果 一 个 密码 系统 能 做 的 既 复杂 (从 而 很 难 找到 简单 的 代数 关系 ) 又 不 泄漏 明 、 
密 文 之 间 的 统计 特性 ,这 样 的 系统 是 比较 理想 的 。 可 以 将 此 系统 理想 化 ,提出 随机 密 
码 系统 的 概念 : 一 个 密码 系统 称 为 随机 密码 系统 ,如 果 满 足下 述 条 件 : 

(1) 任意 组 合 的 消息 都 可 能 发 生 .也 就 是 说 ,长 度 为 N 的 消息 个 数 为 二 GN ,其 
中 G 为 所 使 用 的 字符 个 数 。 相 应 的 密 文 消息 也 有 工种 可 能 。 记 R。, 王 logzG, 则 T= 
2RoN。 通 常 使 用 二 元 符号 进行 通信 ,此 时 G 二 2, 从 而 R, 二 1。 

(2) 长 度 为 N 的 消息 可 以 分 为 两 类 : 一 类 具有 较 高 而 且 较 均匀 的 先 验 概率 分 
布 ; 男 一 类 总 体 概率 也 小 得 可 以 忽略 不 计 。 高 概率 的 一 类 消息 总 数 为 S 二 2? ,其 中 


号 站 ,也 就 是 说 ,R 是 信 源 消息 平均 每 个 字符 的 元 余 度 。 


(3) 解密 的 过 程 可 以 看 作 从 密 文 到 明文 的 一 种 对 应 关系 。 假 定 & 个 密 钥 被 等 可 
能 地 使 用 , 则 每 个 密 文 字符 都 对 应 这 些 密 钥 有 种 对 应 明文 的 对 应 关系 。 对 随机 密 
码 :假定 从 每 个 密 文 到 & 个 明文 的 对 应 关系 是 随机 的 : 即 & 个 随机 选取 的 明文 。 
根据 式 (9. 11) , 密 钥 的 含糊 度 可 表示 为 
HK | C) = HC(K)—I(K;O) (9 22) 


我 一 
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其 中 I(K ;COC) 是 密 钥 与 密 文 之 间 的 互信 息 。 因 为 在 密码 系统 中 ,在 给 定 密 文 的 情况 
下 ,一 个 密 钥 确定 唯一 对 应 的 明文 (忽略 计算 复杂 度 ) ,因此 密 文 给 密 钥 所 提供 的 信息 
与 密 文 给 明文 提供 的 信息 相同 , 即 I(K;C) 二 I(M;C)。 再 次 根据 式 (9. 11) 得 到 
I(M;CO) 二 HH(M) 一 HCM1OC) .我 们 希望 知道 对 这 样 一 个 密码 系统 , 当 获 取 多 少 密 文 
时 ,通过 所 有 可 能 的 解密 可 以 唯一 确定 正确 明文 , 设 这 个 密 文 长 度 为 N, 则 当 截 获 到 
长 度 为 NC( 比 特 ) 的 密 文 后 ,明文 可 以 唯一 确定 ,因此 条 件 炉 了 (M1C) 二 0, 于 是 根据 
随机 密码 的 性 质 2 得 到 I(K;C) 二 I(M;C) 一 HM) 一 RN ,其 中 R 为 信 源 消息 平均 
每 个 字符 的 元 余 度 。 代 入 式 (9. 22) 得 有 H(K1C)= 二 H(K) 一 RN。 因 为 消息 可 以 唯一 
确定 ,因此 密 钥 也 可 以 唯一 确定 , 即 有 态 (K1C) 一 0。 于 是 得 到 


_ H(K) 
R 


这 就 是 计算 随机 密码 系统 唯一 解 距离 的 公式 。 

实际 使 用 的 密码 系统 尽管 不 完全 是 随机 密码 ,但 复杂 的 系统 可 以 近似 看 作 随 机 
密码 系统 。 现 在 考虑 两 种 极端 的 情况 : 如 果 明 文 信 源 的 炉 达 到 最 大 , 即 信 源 符号 完 
全 随机 , 则 信 源 的 元 余 度 为 零 ,从 而 R=0, 根 据 式 (9. 23) 得 到 N 一 < ,这 表明 无 论 截 
获 到 多 少 密 文 ,都 不 能 唯一 确定 对 应 的 明文 ,因为 明文 是 完全 随机 的 字符 。 这 与 直观 
感觉 是 相符 的 。 当 信 源 的 元 余 度 达到 最 大 , 即 明 文 消息 很 确定 时 ,这 时 不 用 截获 任何 
密 文 都 可 以 确定 明文 消息 (这 已 经 不 是 随机 密码 系统 了 ) ,但 考虑 的 是 由 密 文 到 明文 
的 对 应 与 所 使 用 的 密 钥 一 一 对 应 的 情况 ,因此 要 确定 所 使 用 的 是 哪个 密 钥 ,仍然 需要 
截获 至 少 N= 二 HH(K) 长 的 密 文 。 在 实际 密码 破译 中 ,一 般 需 要 截获 到 远大 于 唯一 解 
距离 长 度 的 密 文 。 

现在 考虑 一 个 实际 例子 : 假如 截获 到 某 种 已 知 加 密 算法 为 DES 的 密 文 , 密 文 长 
度 为 64 比特 。 我 们 知道 ,DES 的 一 组 密 文 长 度 为 64 比特 。 假 定 这 是 一 个 完整 的 密 
文 ,而 不 是 两 个 密 文 分 别 贡献 一 部 分 组 成 的 64 比特 。 利 用 特制 的 攻击 工具 ,可 以 在 
有 限时 间 内 穷 举 搜索 所 有 密 钥 ,从 而 在 所 对 应 的 解密 中 .有 一 个 是 真正 的 明文 。 但 如 
何 确定 哪 一 个 是 正确 明文 呢 ? 如 果 对 信 源 消息 完全 没有 预先 知识 , 则 等 同 于 信 源 消 
息 为 完全 随机 的 ,根据 上 面 的 讨论 知道 ,不 能 确定 哪个 是 正确 明文 ,即使 再 截获 并 破 
译 无 穷 长 度 的 密 文 都 没有 用 。 因 此 在 实际 破译 中 必须 对 信 源 消息 有 所 了 解 。 一 种 情 
况 是 知道 信 源 消息 为 英文 文字 , 则 在 解密 的 输出 中 排除 那些 非 英文 文字 的 ,就 得 到 部 
分 可 选 的 了 。 如 果 用 每 8 比特 表示 一 个 英文 字母 (ASCII 码 ), 则 有 8 个 字母 输出 。 
在 少数 情况 下 ,这 仍然 不 能 唯一 确定 正确 的 原始 消息 ,如 果 有 多 于 一 个 的 解密 输出 有 
意义 的 话 。 这 种 情况 下 需要 破译 多 于 一 组 的 密 文 。 另 一 个 特殊 情况 是 破译 者 已 经 得 
到 一 些 明 密 文 对 ,这 时 可 以 唯一 确定 密 钥 ,从 而 可 以 对 新 截获 的 密 文 正确 破译 。 
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9.5 无 条 件 安全 的 实用 密码 体制 实例 分 析 


密码 体制 的 理论 安全 性 给 出 了 很 好 的 理论 指导 ,但 实际 中 很 难 使 用 像 纯 粹 密码 
甚至 完备 密码 一 类 的 密码 系统 。 目 前 实际 使 用 的 绝 大 多 数 密码 体制 都 不 具有 理想 的 
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理论 安全 性 。 如 数据 加 密 标准 (DES) 中 这 个 对 称 密码 ,在 对 信 源 性 质 有 所 了 解 的 情 
况 下 ,给 定 一 定 密 文 ,可 以 唯一 确定 被 加 密 的 明文 ,其 代价 是 很 大 的 计算 量 。 目 前 因 
为 单个 DES 的 破译 计算 复杂 度 不 够 大 而 被 其 他 密码 算法 取代 (如 AES)。 公 和 钥 密码 
也 是 一 样 , 当 得 到 超过 唯一 解 距离 数量 的 密 文 后 ,就 可 以 唯一 确定 明文 。 但 由 于 从 密 
文 破译 明文 的 计算 量 太 大 ,而 使 这 一 过 程 无 法 实现 ,这 是 建立 在 计算 复杂 度 基 础 上 的 
密码 体制 的 通病 。 一 旦 人 们 在 计算 上 有 所 突破 ,比如 量子 计算 机 的 实际 应 用 ,将 对 这 
类 基于 计算 困难 的 密码 体制 带 来 严重 的 威胁 。 但 是 ,在 某 些 特殊 的 应 用 中 ,特别 是 在 
密 钥 管理 方面 ,仍然 存在 无 条 件 安全 的 密码 方案 。 这 些 方案 的 特点 是 ,即使 破译 者 拥 
有 无 限 的 计算 能 力 , 仅 仅 根 据 所 获取 的 有 限 的 信息 ,无 法 恢复 出 正确 的 秘密 信息 。 这 
里 就 简单 介绍 几 个 这 样 的 实例 。 


9.5.1 完备 门限 秘密 共享 方案 


在 密码 系统 中 ,无 论 加 密 还 是 解密 都 需要 密 钥 ,而 这 个 密 钥 是 需要 好 好 保存 的 。 
那么 如 何 保存 好 密 钥 呢 ? 最 直观 的 方法 是 用 人 脑 记 忆 , 但 这 种 方法 的 缺点 是 人 脑 记 
忆 可 能 发 生 错 误 .遗忘 等 现象 ,而 且 随 着 对 信息 安全 程度 的 提高 ,所 使 用 的 密 钥 越 来 
越 长 ,因此 靠 人 脑 记忆 也 越 来 越 不 实际 。 另 一 种 方法 是 用 笔 将 密 钥 记录 在 某 个 地 方 
并 保存 好 ,但 其 缺点 是 破译 者 可 以 花 代价 去 窃取 。 而 且 早期 的 密码 多 用 于 军事 系统 ， 
使 用 密码 的 人 员 机 动 性 较 大 ,很 难 找到 合适 的 地 方 存放 记录 的 密 钥 。 在 今天 的 商务 
密码 应 用 中 也 有 类 似 的 问题 。 假 如 因为 任何 原因 导致 密 钥 丢失 ,其 结果 是 或 者 不 能 
进行 加 密 ,或 者 不 能 将 已 加 密 的 数据 和 信息 解密 ,所 造成 的 损失 是 不 可 估量 的 。 如 果 
让 多 个 人 保管 同一 个 密 钥 , 则 被 丢失 的 可 能 性 会 更 大 。 

1979 年 ,Shamir' 下 提出 了 一 种 [k, nj 门限 方案 ,其 思想 是 将 要 保存 的 秘密 分 发 
给 n 个 成 员 保管 ,每 个 成 员 所 保管 的 是 这 个 秘密 的 一 个 份额 。 当 其 中 任意 & 个 成 员 
将 他 们 的 秘密 份额 放 到 一 起 时 ,可 以 通过 简单 计算 恢复 出 所 保存 的 秘密 。 但 是 ,任何 
少 于 & 个 成 员 的 秘密 份额 将 不 足以 恢复 出 原始 秘密 ,即使 破译 者 具有 无 限 的 计算 能 
力 。 这 样 , 即 使 其 中 某 些 成 员 的 秘密 份额 丢失 ,只 要 丢失 的 秘密 份额 数量 少 于 &, 系 
统 仍然 是 安全 的 。 而 如 果 其 中 某 些 成 员 忘 记 了 自己 的 秘密 份额 ,只 要 剩余 的 秘密 份 
额 数 为 或 更 多 ,就 能 恢复 出 原始 秘密 信息 。 其 实 ,Shamir 秘密 共享 方案 的 设计 思 
想 非常 简单 : 在 有 限 域 GF(p) 上 随机 选取 上 一 1 个 随机 数 al ,az,…':ac ,其 中 
ai 天 0。 假 定 要 保存 的 秘密 为 ao, 则 建立 & 一 1 次 多 项 式 F(Cz) 一 ao 十 az 十 
azz? 十 … 十 aize 对 每 个 成 员 ,. 将 他 们 的 身份 信息 U; 作为 输入 ,把 输出 y; 一 
了 (Ui;) 作 为 成 员 U; 的 秘密 份额 ,通过 秘密 通道 (比如 离线 ) 传 给 该 成 员 。 这 就 完成 了 
秘密 共享 。 为 描述 简单 ,也 不 失 一 般 性 .成员 U; 的 身份 信息 可 以 用 序号 i 代替 ,于 是 
其 秘密 份额 为 y; 二 1(i)。 为 论述 问题 方便 ,下 面 的 讨论 将 用 这 种 简单 形式 。 

现在 讨论 & 个 秘密 份额 信息 是 否 能 正确 恢复 原始 秘密 a。。 不 失 一 般 性 ,假定 这 
kk 个 秘密 份额 分 别 为 yi ,yz，… ,ys， 其 中 yi 一 fC 让), 则 有 
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1 1 1 , ao ao 
1 i 
|. = (9. 24) 
VE 1 Ek k? ww ke! Ql Ql 
其 中 A 为 & 阶 范 德 蒙 (Vandermonde) 和 矩 阵 , 因 此 是 可 道 的 ,于 是 得 到 
ao Y1 
二 EE (9. 25) 
Ql Vk 


显然 ,给 定 w ,ys，… ,yi ,根据 式 (9.25) 可 以 唯一 确定 多 项 式 f(x) 的 所 有 系数 ,其 中 
包括 秘密 信息 ce 。 在 实际 计算 we 时 ,一般 不 用 式 (9. 25) ,因为 它 太 强 大 (可 以 计算 多 
项 式 /(x) 的 所 有 系数 ) ,但 需要 的 只 是 计算 wo 。 另 一 种 更 简单 的 方法 是 拉 格 朗 日 插 
值 公 式 。 一 般 地 ,给 定 上 对 (zi,yi) ,i 二 1,2,…,k, 可 以 唯一 确定 一 个 一 1 次 多 项 式 
f(z), 使 y= 二 f(zi)。 事实 上 , f(x) = > » I 入 ee 就 是 满足 条 件 的 多 项 式 。 因 


JE 


此 当 给 定 yy 后， ,要 恢复 的 秘密 信息 为 


ao = f(0) = 3 y: TIT -i (9. 26) 


5 一 于 
下 面 讨 论 当 秘密 份额 数量 少 于 & 时 ， 是 否 能 恢复 秘密 信息 ,或 能 得 到 关于 秘 
密 信 息 的 多 少 信 息 。 由 式 (9. 26) 不 难看 出 ,无 论 yi ;yz，… ,4-1 如 何 选取 ,因为 
i i 隆 0, 故 当 vy 取 遍 GF(p) 中 所 有 可 能 值 时 ,ao 也 取 遍 GF(p) 中 所 有 可 


jk] 


能 值 。 当 y 在 GF(p) 中 的 取 值 概率 服从 均匀 分 布 时 ,ao 在 GF(p) 中 的 取 值 
概率 也 服从 均匀 分 布 。 这 就 证 明了 yw ,yo，… ,yr-1 与 ao 在 GF(p) 中 取 值 的 独立 
性 , 即 
Plao | wm yyz， yc) = Plao) 

根据 互信 息 的 定义 (定义 9.2.1), 可 以 得 到 

定理 9.5.1 在 Shamir 秘密 共享 方案 中 ,任意 & 一 1 个 秘密 份额 Y= {yi ,ye ,…， 
ya-1) 对 所 保护 的 秘密 信息 K 二 ao) 所 提供 的 信息 为 零 , 即 I(K;Y) 二 0。 

定理 9. 5. 1 说 明 Shamir 秘密 共享 方案 是 完备 的 , 即 无 论 攻 击 者 有 多 大 的 计算 能 
力 ,在 得 到 少 于 个 秘密 份额 的 情况 下 对 原始 秘密 的 计算 成 功 概率 不 比 在 没有 任何 
秘密 份额 信息 条 件 下 的 猜测 有 任何 优势 。 如 果 攻 击 者 得 到 更 少 的 秘密 份额 ,显然 不 
会 得 到 更 多 的 信息 。 

完备 秘密 共享 方案 也 称 为 无 条 件 安全 的 , 即 其 安全 性 不 依赖 于 攻击 者 的 计算 能 
力 。 其 实 完备 秘密 共享 方案 的 安全 性 更 高 ,因为 在 不 具备 合法 恢复 密 钥 的 条 件 下 , 攻 
击 者 所 获得 的 信息 对 其 猜测 没有 任何 帮助 。 

需要 说 明 的 是 : Shamir 提出 的 [&, nj 秘密 共享 门限 方案 需要 有 一 个 高 级 成 员 
对 秘密 份额 进行 产生 和 分 配 ; @ 一 旦 有 个 成 员 将 原始 秘密 恢复 ,对 这 些 成 员 来 说 ， 
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该 秘密 就 不 再 成 为 秘密 ,因此 这 种 方案 不 适合 重复 使 用 。 那 么 ,能 否 把 门限 秘密 共享 
方案 的 思想 应 用 于 密码 方案 中 ,使 其 不 再 有 上 述 两 条 局 限 性 呢 ? 答案 是 肯定 的 。 最 
早 的 解决 方案 是 Desmedt 和 Frankel 在 1989 年 提出 的 门限 密码 体制 中 ,目前 在 这 方 
面 已 经 有 大 量 研究 成 果 。 许 多 文章 中 也 分 析 了 门限 方案 对 信息 的 泄漏 , 即 信息 理论 
意义 下 方案 的 安全 性 。 


9.5.2 无 条 件 安 全 的 消息 认证 码 


消息 认证 码 (Message Authentication Code， MAC) 是 一 种 提供 消息 完整 性 保护 
的 密码 技术 ,使 消息 在 传输 过 程 中 所 发 生 的 任何 错误 能 被 收 信人 检测 到 。 目 前 很 多 
通信 网 络 都 具有 很 好 的 可 靠 性 , 即 数据 在 通过 网 络 传 输 时 发 生 错 误 的 概率 很 小 。 青 
加 上 通信 中 使 用 纠 错 技术 和 可 靠 的 通信 协议 (如 TCP) ,使 得 实际 通信 中 因为 网 络 的 
不 可 靠 性 而 发 生 传输 错误 数据 的 概率 很 小 。 但 是 ,网 络 中 存在 恶意 攻击 , 即 通过 网 络 
传输 的 数据 可 能 被 恶意 攻击 者 主动 算 改 ,而 这 种 自 改 很 难 通 过 纠 错 码 技术 等 手段 避 
免 。 当 防御 系统 不 能 工作 时 ,检测 系统 就 变 得 非常 重要 。 消 息 认证 码 就 是 这 样 一 种 
检测 系统 , 即 收 信 人 对 收 到 的 信息 进行 消息 完整 性 检测 ,如 果 发 现 消 息 被 非法 算 改 ， 
则 拒绝 接收 (或 要 求 重 发 )。 因 此 ,数据 完整 性 保护 是 密码 学 中 核心 内 容 之 一 ,主要 用 
于 防护 网 络 恶 意 算 改 攻击 。 

消息 认证 码 技术 使 用 的 前 提 是 有 一 个 加 密 密 钥 和 一 个 解密 密 钥 。 消 息 发 送 者 对 
要 传送 的 消息 计算 Hash 值 , 用 加 密 密 钥 将 此 Hash 值 进行 加 密 , 该 加 密 结果 连同 消 
息 一 起 发 送 给 收 信人 。 如 果 对 消息 的 机 密 性 也 有 需求 , 则 将 消息 的 Hash 值 附着 在 
消息 上 ,然后 用 加 密 密 钥 将 消息 及 其 Hash 值 一 起 加 密 。 当 收 信 人 收 到 消息 后 ,无 论 
使 用 的 是 哪 种 方式 , 收 信 人 都 能 使 用 解密 密 钥 进行 解密 后 得 到 消息 和 其 Hash 值 , 然 
后 验证 所 期 望 的 Hash 值 是 否 与 用 消息 产生 的 Hash 值 相 同 。 如 果 通 信 中 消息 被 恶 
意 算 改 , 则 能 通过 消息 完整 性 验证 的 可 能 性 非常 小 ,在 实际 中 完全 可 以 忽略 不 计 。 但 
是 ,无 论 加 密 算法 使 用 的 是 对 称 密码 算法 还 是 公开 密 钥 密码 算法 ,一 个 具有 无 限 计 算 
能 力 的 攻击 者 可 以 找到 加 密 密 钥 ,从 而 可 以 任意 算 改 具有 消息 认证 码 的 消息 ,而 收 信 
人 无 法 辨别 。 这 类 消息 认证 码 实 际 是 基于 计算 复杂 性 来 提供 安全 性 的 。 

另 一 类 消息 认证 码 最 早 是 由 Gilbert 等 人 中 提出 来 的 .后 来 Simmons[ 下 对 其 作 了 
很 大 的 扩展 ,使 其 理论 更 趋 于 成 熟 。 这 类 消息 认证 码 的 安全 性 不 依赖 于 攻击 者 的 计 
算 能 力 , 因 此 它 所 提供 的 安全 性 是 无 条 件 的 , 即 不 假定 攻击 者 具有 有 限 的 计算 能 力 。 
下 面 介 绍 这 种 消息 认证 码 及 其 安全 性 。 

假定 消息 空间 是 集合 M, 密 钥 空 间 是 集合 K .而 认证 码 空 间 是 集合 C。 任 何 一 个 
密 钥 &E 开 对 应 于 从 M 到 C 的 一 个 单 映 射 E;:M-C。 如 果 C 一 M, 则 任意 映射 E。 
都 是 集合 M 上 的 一 个 置换 ,这 等 价 于 许多 传统 的 分 组 密码 。 消 息 认 证 码 的 安全 性 要 
求 不 是 从 截获 得 认证 码 字 恢复 其 所 对 应 的 原始 消息 (这 是 加 密 体制 的 安全 性 要 求 )， 
而 是 攻击 者 能 否 构 造 一 个 被 收 信 人 接收 的 某 一 消息 (任意 消息 ) 的 合法 认证 码 子 。 这 
比 从 认证 码 字 恢复 原始 消息 要 容易 得 多 。 

攻击 者 可 以 实施 下 列 两 种 攻击 方法 之 一 : 
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(1) 在 通信 开始 之 前 ,攻击 者 从 认证 码 空间 中 选取 一 个 认证 码 字 cEC 并 发 
送 给 收 信人 。 若 收 信人 接收 cc 为 合法 认证 码 子 , 则 伪造 攻击 成 功 ; 如 果 收 信人 能 
发 现 c 不 是 合法 认证 码 子 , 则 伪造 攻击 失败 。 这 种 攻击 方法 称 为 模仿 伪造 
(impersonation) 。 

(2) 攻击 者 可 以 等 待 截获 到 通信 中 传输 的 1 个 合法 认证 码 子 ci ,cs，… ,ct 后 再 实 
施 攻击 。 攻 击 者 根据 截获 到 的 合法 认证 码 字 的 信息 和 对 该 认证 系统 的 知识 伪造 一 个 
认证 码 子 c 并 发 送 给 收 信 人 。 如 果 收 信人 接收 c 为 合法 认证 码 字 ,并 译作 与 
asca :cs 所 对 应 的 信 源 消息 不 同 的 消息 , 则 称 攻 击 成 功 。 这 种 攻击 称 为 上 级 欺骗 
(spoofing)。 当 tz 一 1 时 ,这 种 攻击 又 称 为 替换 攻击 Csubstitution ) 。 

注意 在 上 级 欺骗 攻击 中 ,如 果 攻 击 者 构造 了 一 个 不 同 于 cl ,cz ,…:c: 的 码 子 c ,并 
且 收 信人 认为 c 为 合法 认证 码 子 ,但 其 所 对 应 的 信 源 消息 与 某 个 已 知 码 子 c; 所 对 应 
的 消息 相同 ,这 种 情况 也 不 算 作 攻 击 成 功 。 为 了 将 问题 简化 ,在 研究 认证 码 的 安全 性 
时 ,通常 只 考虑 攻击 者 模仿 伪造 成 功 的 概率 P! 和 替换 攻击 的 成 功 概率 Ps。 这 样 , 攻 
击 者 欺骗 攻 击 成 功 的 概率 Pu 定义 为 Ps 二 max {Pi,Ps}。 在 这 样 一 个 认证 系统 中 ， 
假定 发 信人 与 收 信 人 是 相互 信赖 的 (比如 他 们 具有 共同 的 利益 ) ,共同 防范 的 是 中 间 
截获 消息 的 攻击 者 。 如 果 发 信人 与 收 信人 不 能 相互 信任 , 则 需要 其 他 认证 码 模型 ,如 
具有 仲裁 的 消息 认证 码 5 。 这 类 认证 码 在 这 里 不 是 讨论 的 重点 。 只 需要 通过 消息 认 
证 码 提供 另 一 类 具有 无 条 件 安全 的 密码 系统 。 

对 于 一 个 消息 认证 系统 ,如 果 攻 击 者 的 上 述 攻 击 方法 都 不 比 随机 从 认证 码 空 间 
中 选取 一 个 码 子 进行 模仿 伪造 攻击 的 成 功 概率 大 , 则 称 该 系统 为 完备 认证 系统 , 即 所 
用 的 认证 码 为 完备 消息 认证 码 。 注 意 与 完备 保密 概念 不 同 的 是 ,完备 的 认证 系统 不 
一 定 是 安全 的 。 比 如 当 消 息 空 间 与 认证 码 空 间 大 小 相同 时 , 即 每 一 个 密 钥 对 应 的 都 
是 从 M 到 C 的 满 射 时 ,认证 码 空 间 中 的 任何 一 个 码 子 都 代表 某 一 信 源 消息 ,因此 任 
取 一 个 认证 码 子 进行 模仿 欺骗 ,成 功 概率 都 为 1。 因 此 ,为 了 保证 攻击 者 具有 较 低 的 
模仿 伪造 成 功 概率 ,首先 必须 要 求 认 证 码 空间 C 比 消息 空间 M 大 得 多 。 

对 每 一 密 钥 AE 开 ,定义 合法 认证 码 子 空间 为 C 的 某 个 子 集 Ce = 已 CM) 一 
{cEC: I3mEMs.t. Ei(m)=c} .由 于 EE 为 M 到 C 的 单 映射 , 故 有 |C(M)| 宇 
1M| .如 果 等 号 成 立 , 则 说 明 任 一 消息 在 密 钥 & 作 用 下 对 应 C 中 的 唯一 认证 码 子 ， 
否则 说 明 存 在 消息 |mmz EM, 在 密 钥 & 的 作用 下 对 应 到 不 同 的 消息 认证 码 子 。 在 实 
际 编码 中 ,可 以 随机 选取 其 所 对 应 的 认证 码 子 ,它们 都 是 合法 的 。 如 果 攻 击 者 将 其 
替换 为 表示 同一 消息 的 另 一 认证 码 子 ,尽管 被 收 信人 接收 为 合法 的 ,因为 它 没有 成 
功 伪造 另外 的 消息 ,因此 这 类 攻击 不 算 成 功 。 当 |CeCM) 1 二 |MI 成 立时 ,认证 码 称 
为 有 分 裂 的 。 

对 于 一 个 认证 码 , 根 据 所 有 密 钥 所 对 应 的 合法 认证 码 子 集合 ,可 以 构造 一 个 
1K|X1C| 阶 和 矩 阵 A, 称 为 认证 码 编码 矩阵 ,其 中 元 素 ai.; 为 密 钥 ;作用 下 ,编码 后 对 
应 cj 的 信 源 消息 (这 里 假定 每 个 集合 中 的 元 素 都 有 一 个 预先 的 排序 )。 如 果 在 密 钥 
k; 作用 下 没有 一 个 消息 编码 后 对 应 cj: 即 c 在 此 密 钥 下 不 是 合法 认证 码 子 , 则 记 
ai 一 0。 根 据 这 一 原则 不 难看 出 , 信 源 消息 空间 中 的 每 个 元 素 在 编码 矩阵 4 的 每 一 行 


4 
et 信息 安全 中 的 数学 方法 与 技术 


中 都 至 少 出 现 一 次 ,有 些 可 能 会 出 现 多 次 (有 分 裂 编码 的 情况 )。 例如, 当 M = 
mm},K 二 {ki ,kz ys) C 一 {clczcasce} 时 ,下 面 的 矩阵 给 出 了 一 种 可 能 的 消 
息 认 证 码 : 
m1 m2 0 0 
m1 0 7722 0 
A= CO 27) 
0 7722 0 m1 
0 0 m2 m1 
对 攻击 者 来 说 ,由 于 信 源 消息 , 密 钥 和 认证 码 子 都 是 不 确定 的 ,可 以 把 它们 看 作 
具有 一 定 概 率 分 布 的 随机 变量 。 记 P(c) 为 c 是 合法 认证 码 子 的 概率 ,PC(k,c) 为 在 密 
钥 & 作 用 下 ec 是 某 个 消息 的 合法 认证 码 子 的 概率 。 定 义 认证 函数 
1 当 c 在 & 作 用 下 为 合法 认证 码 子 时 


Bk,c) 一 { 计 作 (9. 28) 
则 对 于 某 一 认证 码 子 , 它 为 合法 认证 码 子 的 概率 为 
P(e 合法 ) = DPOBCk,c) (9. 29) 
攻击 者 在 实施 模仿 伪造 攻击 时 ,一 定 会 选取 使 成 功 概率 最 大 的 认证 码 子 ,因此 有 
Pi = max{P(e))} (9. 30) 


对 于 模仿 伪造 攻击 的 成 功 概率 ,Simmons 在 文献 [9] 中 证 明了 一 个 重要 不 等 式 , 这 里 
作为 定理 列 出 。 
定理 9.5.2 对 消息 认证 码 的 模仿 伪造 攻击 的 成 功 概率 满足 
Pi (9. 31) 
其 中 ICK;C) 为 K 与 C 的 互信 息 。 
证 明 : 由 式 (9. 30) 可 得 
Pi 三 >) PCD)P(c 合法) (9. 32) 


式 (9. 32) 等 号 成 立 当 且 仅 当 P(e 合法 ) 对 所 有 < 都 是 相同 的 常数 。 将 式 (9. 29) 代 入 
式 (9. 32) 得 


Pi 三 >)PC)PCOJGC,c) (0:33 


由 于 P(&,c) 二 0 当 且 仅 当 @CA,c) 二 1, 因 此 式 (9. 33) 可 以 等 价 地 写 为 期 望 值 的 形 
式 , 即 


已 C(R)PCc) 


to 


对 上 式 两 端 取 以 2 为 底 的 对 数 , 得 
EYPCeY 


lew Pi > logE [Be (9. 34) 


注意 对 数 函 数 是 严格 下 则 函数 .根据 著名 的 Jensen 不 等 式 可 得 


P(E PC) P(A PC) 
PRsc) ]=>E[log> Pk,c) 


H(KC)— H(K)— H(C) ICK;C) (9. 35) 


logsE| 
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结合 式 (9. 34) 和 式 (9. 35) 得 到 logs Pl 宇 一 I(K ;C), 即 式 (9. 31) 成 立 , 故 定理 得 证 。 
注意 定理 9. 5. 2 中 使 式 (9. 31) 等 号 成 立 的 充分 必要 条 件 是 : 
(1) P(e 合法) 对 所 有 c 都 是 相同 的 常数 ; 


(2) 对 所 有 满足 B(k,c) 二 1 的 外 和 c ,是 常数 。 


由 于 模仿 伪造 只 是 攻击 的 一 种 特殊 情况 ,因此 有 Ps 三 Pi, 于 是 得 到 认证 码 的 信道 容 
量 定理 。 

定理 9.5.3( 认 证 信道 容量 定理 ) 

log: Pa 三 一 TCK3:C) 9. .36} 

上 述 从 理论 上 讨论 了 消息 认证 码 的 一 些 描述 。 下 面 给 出 几 个 消息 认证 码 的 实 
例 , 使 读者 对 消息 认证 码 的 无 条 件 安 全 性 有 更 直观 的 认识 。 

考虑 式 (9.27) 给 出 的 认证 码 , 即 在 密 钥 &, 作用 下 ,两 个 信 源 消息 mm 和 ms 分 别 
被 加 密 为 密 文 c 和 cs, 在 密 钥 ,作用 下 ,两 个 信 源 消息 ma 和 ms 分 别 被 加 密 为 密 文 
c 和 cs ,在 密 钥 es 作用 下 ,两 个 信 源 消息 分 别 被 加 密 为 密 文 c 和 cz, 在 密 钥 A 作用 
下 ,两 个 信 源 消息 分 别 被 加 密 为 密 文 ck 和 cs 。 则 当 攻 击 者 截获 到 密 文 o 或 c 时 ,无 
论 实际 使 用 的 是 哪个 密 钥 ,都 可 以 断定 所 发 送 的 信 源 消息 是 mi ,而 在 其 他 情况 下 可 
以 判断 信 源 消息 为 ms 。 但 是 ,如 果 把 编码 矩阵 略 加 修改 , 变 为 

m1 m2 0 0 


7722 0 m1 0 


A’= 
0 mi 0 7712 


0 0 m2 m1 


则 容易 看 出 ,无 论 攻击 者 截获 到 哪个 密 文 , 除 了 能 排除 两 个 密 钥 的 可 能 性 外 ,对 信 源 
消息 的 猜测 成 功 概率 仍 为 去, 即 没有 任何 帮助 ,而 且 这 种 成 功 概率 与 攻击 者 的 计算 能 
力 无 关 。 如 果 攻 击 者 在 没有 截获 到 任何 密 文 前 想 模 仿 攻击 , 则 在 这 两 种 情况 下 成 功 
概率 都 为 去。 因此 改造 后 的 编码 是 一 种 无 条 件 安全 的 消息 认证 码 , 或 完备 认证 码 。 


上 述 例子 或 许 显得 有 些 太 简单 。 下 面 给 出 另 一 个 具有 分 裂 的 完备 认证 码 。 设 原 
始 信 源 有 4 个 消息 ,认证 码 空间 有 15 个 码 子 . 密 钥 空间 有 9 个 密 钥 ,而 且 密 钥 和 信 源 
消息 都 等 可 能 地 使 用 。 则 下 列 编码 矩阵 所 给 出 的 是 一 个 完备 认证 码 , 其 完备 性 可 以 
很 容易 验证 。 
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9.5.3 零 知 识 证 明 的 零 知 识 性 


零 知 识 证 明 的 概念 最 早 是 由 Goldwasser 等 人 5 提出 的 , 它 已 经 成 为 密码 学 的 
基本 方法 之 一 ,在 密码 协议 中 有 重要 应 用 。 从 字面 意思 看 , 零 知 识 证 明 系 统 是 一 个 交 
互 证 明 过 程 ,使 得 当 证 明 完 成 后 ,验证 方 除 了 确信 证 明 方 所 证 明 的 知识 外 ,得 不 到 任 
何其 他 知识 。 也 就 是 说 ,验证 方 在 模仿 证 明 方 向 第 三 者 证 明 同 样 知 识 的 能 力 并 没有 
增加 。 这 里 的 知识 与 信息 是 否 一 致 呢 ?如 何 用 信息 论 的 方法 理解 零 知 识 证 明 系 统 ? 
这 里 将 考虑 这 些 问题 。 

简单 地 说 , 零 知识 证 明 系 统 是 这 样 一 个 系统 : 有 一 个 证 明 人 A, 一 个 验证 人 B， 
和 要 证 明 的 知识 XX。A 希望 向 B 证 明 自 己 拥有 知识 X, 于 是 向 B 传送 某 些 信息 。 
B 为 了 确信 ,向 A 提问 一 些 问 题 ,A 对 B 所 提问 的 问题 进行 答复 。 这 种 提问 应 答 的 
过 程 可 能 要 进行 多 轮 , 以 增加 B 的 确信 程度 。 最 终 B 相信 A 对 X 的 掌握 ,但 证 明 过 
程 没有 给 B 掌握 XX 提供 任何 帮助 。 举 一 个 简单 例子 : A 声称 自己 能 计算 模 大 素数 
户 的 离散 对 数 ,B 为 了 能 确信 ,可 以 随机 找 一 个 随机 数 zx, 计算 > 一 8* mod p, 其 中 
g 是 A 和 B 共同 约定 的 一 个 数 ,并 将 y 的 值 传 给 A (提问 )。 如 果 A 能 够 将 x 的 值 传 
给 B( 应 答 ), 则 B 有 理由 相信 A 确实 有 能 力 计算 模 p 的 离散 对 数 。 但 B 可 能 怀疑 
A 碰巧 找到 xz 的 值 而 并 不 具有 一 般 求 离散 对 数 的 能 力 , 于 是 可 以 进行 多 轮 的 提问 。 
假如 A 对 每 一 轮 这 样 的 提问 都 能 正确 应 答 ,B 确信 A 具有 计算 模 p 离散 对 数 能 力 的 
程度 应 该 不 断 提高 ,直至 几乎 不 怀疑 。 但 当 证 明 过 程 完成 后 ,无论 A 与 B 之 间 进 行 
几 轮 的 提问 与 应 答 ,B 都 没有 增加 自己 计算 模 p 离散 对 数 的 能 力 。 这 种 无 零 知识 汇 
漏 的 过 程 也 可 以 用 更 正规 的 与 机 器 模拟 不 可 区 分 的 方法 描述 。 

从 上 面 的 例子 来 看 , 零 知 识 系统 中 的 知识 与 前 面 提 到 的 信息 还 是 有 区 别 的 。 比 
如 计算 模 户 的 离散 对 数 的 能 力 就 很 难 用 确定 信息 来 描述 。 证 明 过 程 没 有 汽 漏 知识 ， 
但 不 一 定 没有 泄漏 信息 。 下 面 从 概念 上 (因为 很 难 量 化 描述 ) 分 析 什 么 情况 下 , 零 知 
识 证 明 系 统 真 的 没有 泄漏 信息 。 

对 零 知 识 的 直观 解释 莫 过 于 Jean-Jacques Quisquater 等 人 在 CRYPTO ”89 上 
发 表 的 一 篇 文章 , 它 对 零 知 识 的 解释 大 概 是 这 样 的 : 很 久 很 久 以 前 一 帮 强 盗 在 山洞 
深 处 有 一 个 密室 ,进入 密室 要 有 秘密 口令 。 山 洞 有 两 个 出 口 ,中 间 被 强盗 的 密室 堵 死 
了 。 一 个 偶然 的 机 会 ,村 民 阿 里 巴巴 偷 听 到 了 强盗 的 口令 , 想 告知 其 他 村 民 , 但 没 人 
相信 ,而 阿里 巴巴 又 不 想 让 别人 知道 秘密 口令 是 什么 。 于 是 阿里 巴巴 想 出 了 这 样 一 
个 方法 : 在 一 个 强盗 外 出 的 日 子 : 他 带领 村 民 到 山洞 去 验证 。 首 先 阿 里 巴巴 自己 进 
入 山洞 ,其 他 人 不 知道 他 是 从 哪个 洞口 进去 的 。 然 后 其 他 人 任 选 一 个 洞口 ,让 阿里 巴 
巴 从 他 们 所 在 的 洞口 出 来 。 阿 里 巴巴 按照 要 求 出 来 了 。 是 否 其 他 人 就 相信 了 呢 ? 不 
完全 相信 ,因为 有 人 怀疑 可 能 阿里 巴巴 刚好 从 他 出 来 的 洞口 进去 的 呢 。 于 是 阿里 巴 
巴 进行 第 二 次 .第 三 次 甚至 更 多 次 试验 ,结果 都 相同 。 后 来 人 们 相信 了 ,但 目击 的 人 
们 仍然 不 知道 进入 密室 的 口令 。 有 一 个 记者 ( 注 : 当时 可 能 没有 记者 这 一 职业 和 其 
使 用 的 设备 ,但 为 了 我 们 的 故事 ,将 一 个 现代 的 记者 用 时 间 飞 船 送 到 那个 时 代 ) 用 摄 
像 机 录制 了 全 部 过 程 ,后 来 放 给 其 他 人 看 。 可 是 ,看 过 录像 的 人 都 怀疑 阿里 巴巴 是 否 


2 
第 9 章 “信息论 方法 与 技术 2 


真 的 掌握 密室 的 口令 ,因为 任何 人 都 可 以 录制 类 似 的 录像 ,也 就 是 说 , 真 的 录像 (村 民 
所 选 的 洞口 确实 是 随机 选取 的 ) 和 假 的 录像 (村 民 所 选 的 洞口 是 预先 安排 好 的 ) 不 可 
区 分 。 在 这 个 故事 中 ,阿里 巴巴 将 其 秘密 告知 其 他 村 民 的 方法 就 是 一 个 零 知 识 证 明 
过 程 。 

从 信息 论 的 角度 看 ,阿里 巴巴 的 证 明 过 程 没 泄漏 任何 信息 ,因为 目击 的 村 民 除 了 
相信 阿里 巴巴 掌握 密室 口令 的 事实 外 ,得 不 到 对 口令 猜测 的 任何 有 用 信息 。 同 样 不 
难看 出 ,上 面 证 明 计 算 离散 对 数 能 力 的 证 明 过 程 也 没有 汽 漏 任何 信息 ,因为 验证 人 在 
证 明 过 程 中 没有 得 到 任何 他 在 证 明之 前 不 知道 的 信息 。 但 是 ,也 有 一 些 证 明 系统 的 
过 程 会 泄漏 一 些 意图 之 外 的 信息 。 比 如 A 要 证 明 自 己 拥有 某 个 RSA 公 钥 Ce,z) , 即 
A 掌握 该 公 钥 对 应 的 私 钥 d。B 为 了 验证 这 一 点 ,产生 一 个 随机 数 ,并 向 A 发 送 提 
问 R=r* mod n,A 计算 r= 二 R* modn 并 将 > 发 送 给 B,B 对 比 自己 产生 的 随机 数 就 应 
该 相信 A 要 证 明 的 知识 。 同 样 这 一 过 程 可 以 进行 多 次 。 但 在 任何 证 明 过 程 中 ,B 没 
得 到 任何 他 在 证 明之 前 不 知道 的 信息 ,因此 这 也 是 一 种 零 知 识 证 明和 系统。 但 是 ,验证 
者 B 可 以 恶意 地 利用 这 一 零 知 识 证 明 过 程 获 取 A 对 任何 消息 mr 的 签名 
ss 一 Mi mod n: B 在 提问 时 向 A 发 送 R' = 二 mr mod n,A 在 应 答 时 将 r= 二 R'mod 7 一 
rm* mod n 传 给 B,B 计算; 二 r/r modn 就 得 到 所 期 望 的 签名 。 在 这 里 B 实际 利用 
了 证 明 系 统 的 漏洞 .从 某 种 意义 上 可 以 称 为 系统 的 潜 信 道 , 来 得 到 系统 本 身 目 的 之 外 
的 信息 。 这 与 系统 本 身 的 零 知 识 性 并 不 矛盾 。 因 此 零 知 识 证 明 系 统 是 否 无 信息 泄漏 
(不 存在 潜 信 道 ) 是 一 个 不 容易 确定 的 问题 。 如 何 确 定 零 知识 系统 的 信息 泄漏 在 此 留 
作 一 个 公开 问题 。 


9;6 注 记 


Shannon 的 经 典 论文 中 葛 基 了 通信 的 理论 基础 ,为 信 源 编码 和 信道 编码 提供 了 
理论 依据 ,也 一 直 是 这 两 类 实际 编码 的 追求 目标 (理论 限 )。Shannon 的 经 典 论文 加 
为 信息 安全 的 系统 研究 提供 了 重要 的 理论 依据 。 但 是 .不同 于 通信 的 数学 理论 中 对 
实际 系统 影响 的 是 ,安全 系统 的 信息 理论 中 与 实际 安全 系统 之 间 的 关系 非常 微妙 : 
许多 实际 系统 可 能 根本 不 具有 理论 安全 性 ,如 公 钥 系统 中 密 文 对 明文 信息 的 泄漏 是 
100% ;而 理论 安全 的 系统 可 能 根本 不 能 用 :如 一 次 一 密 的 加 密 系 统 。 根 本 原因 是 在 
安全 系统 中 用 到 一 个 极为 秘密 的 信息 , 即 密 钥 .而 密 钥 的 管理 问题 没有 在 Shannon 
的 安全 理论 中 考虑 到 ,而 在 实际 系统 中 则 是 非常 现实 的 问题 ,因此 才 导 致 这 种 看 似 悖 
论 的 现实 : 理论 安全 的 系统 在 实际 中 可 能 不 安全 ,而 实践 证 明 具 有 实际 安全 性 的 系 
统 可 能 在 理论 上 不 具有 安全 性 。 但 是 ,也 有 一 些 理论 安全 与 实际 安全 非常 统一 的 情 
况 , 即 理论 安全 的 系统 在 实际 中 达到 最 好 的 安全 性 ,这 类 系统 称 为 完备 的 或 完善 的 。 
这 类 系统 多 数 是 不 涉及 密 钥 管理 问题 ( 即 假定 密 钥 的 分 配 与 保管 不 存在 问题 ,如 认证 
码 系 统 ) ,或 系统 本 身 就 是 密 钥 管理 (如 门限 秘密 共享 系统 )。 
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第 10 章 频谱 方法 与 技术 


频谱 方法 是 研究 逻辑 函数 的 重要 工具 , 它 在 密码 函数 的 特征 刻画 和 密码 分 析 方 
面 显示 出 了 独特 的 优越 性 。 本 章 主要 介绍 一 些 在 信息 安全 研究 领域 中 常用 的 频谱 方 
法 与 技术 ,主要 内 容 包 括 布尔 函数 的 Walsh 谱 概 念 及 其 应 用 ;: 环 上 逻辑 函数 的 
Chrestenson 谱 概念 及 其 基本 性 质 ; 有 限 域 上 的 频谱 方法 与 技术 。 


10.1 Walsh 谱 方 法 与 技术 


10.1.1 布尔 函数 的 定义 及 其 表示 方法 


设 是 任 一 正 整 数 ,F, 为 二 元 域 ,F3 表示 F, 上 的 n 维 向 量 空间 。 

定义 10.1.1 设 f(z) 是 从 户 到 下 的 映射 , 即 对 任意 的 Xx 二 (zi ,zs ,XT,) EE 
本 ,都 有 f(z) 二 f(xyX2 Xr) EPFs, 则 称 f(z) 为 Fi 上 的 nn 元 布尔 函数 , 记 为 
FE 一 FF 或 f(x) XEFYS。 

为 了 便于 研究 和 应 用 ,人 们 在 不 同 的 情况 下 对 布尔 函数 采用 不 同 的 表示 。 本 节 
主要 介绍 布尔 函数 的 4 种 表示 形式 . 即 真 值 表 表 示 、 向 量 表示 、 小 项 表示 和 多 项 式 
表示 。 

1. 真 值 表 表示 和 向 量 表示 

一 个 nn 元 布尔 函数 了 :一 F, 是 否 给 定 , 关 键 在 于 该 函数 的 值 是 否 对 于 每 一 组 
自 变 量 (xi ,xs，… ,zi) 均 已 确定 。 如 果 把 每 一 组 自 变量 (zi ,zxs，… ,zx,) 与 其 所 对 应 的 
函数 值 全 部 列 成 表格 ,这 种 表格 就 叫做 布尔 函数 f(z) 的 真 值 表 。 习 惯 上 总 是 按 二 进 
制 表示 zi ,zs，… ,zw 的 值 递增 的 顺序 由 上 到 下 排列 真 值 表 ( 视 rz, 为 最 低位 )。 在 此 
约定 下 ,将 表 中 函数 值 构 成 的 长 为 2” 的 行 向 量 记 为 了, 称 为 布尔 函数 /(x) 的 向 量 表 
示 。/ 中 的 非 零 元素 的 个 数 称 为 布尔 函数 f(x) 的 重量 , 记 为 Wa(f(z)), 即 f(x) 二 
1 的 zz 的 个 数 。 特 别 地 : 当 WaCFGz)) 一 2 时 , 则 称 f(x) 是 平衡 布尔 函数 。 

例 10.1.1 设 f(x): 一 F;, 其 真 值 表 如 表 10. 1 所 示 。 


表 10.1 布尔 函数 /(x) 的 真 值 表 表 示 实 例 


zl zx f 2)=fxz2) x1 Zz Crz) 一 Cazayzs) 
0 0 1 0 1 
0 1 1 1 0 


表 10. 1 所 表示 的 函数 f(z) 的 向 量 表示 为 f 一 (1,1,1,0) ,重量 为 WaCFCz)) 一 3。 
2. 小 项 表示 
对 于 ZXiyci EF; ,约定 xz! 二 xi,X? = 二 Zz; 二 1 十 xi, 于 是 
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0，， xz 天 局 
设 整数 c(0 三 c 三 2" 一 1) 的 二 进 制 表 示 是 ctczs…c ,约定 x 二 Xf x2 …x, 它 具有 
下 述 “ 正 交 性 ”: 


1， zi 一 ci 
Xk 一 


1， (zivzz，…yZe) = (Circ2 3s 9Cn) 
ixzg x 一 
全 (X19T29 To) 天 (cycz cn) 
由 此 可 得 到 
Wan | 


f(z) 一 2) fccaser ser) Zh zg 9 (10.1) 


c=0 


式 (10.1) 称 为 f(x) 的 小 项 表示 ,每 个 被 加 项 f(ci cs s… ,cs)xh x zy 称 为 一 
个 小 项 .其 中 求 和 符号 * >)” 是 指 在 F, 上 的 求 和 。 

小 项 表示 实际 上 是 逻辑 表达 方式 。 这 种 表示 法 常用 于 布尔 函数 的 逻辑 设计 

例 10.1.2 表 10.1 所 示 的 布尔 函数 f(z): 玫 一 Fs 的 小 项 表示 为 

CCziyzz) 一 1。zgzes 十 1。zgz 十 1。zizs 十 0O0。zizt3 
一 元 1 二 * 十 Zixs 十 Zi 二 2 

3. 多 项 式 表示 

例 10. 1. 2 中 小 项 表示 的 FCz) 可 以 变形 为 F: 上 的 多 项 式 FCzi,zs) 一 
(zl 十 1)(zs 十 1) 十 (zi 十 1)xzs 十 zz 十 1) 一 1 十 zz 这 就 得 到 了 布尔 函数 
f(xzi,Xz) 的 多 项 式 表 示 。 一 般 地 ,将 ;二 1 十 zi; 代入 式 (10.1), 并 注意 到 ziri; 一 zi， 
Xi; 二 Xjzxi， 利 用 分 配 律 并 且 进 行 同类 项 合并 , 便 可 使 该 式 化 为 变量 zi ,xs，… ,x 的 
一 些 单项 式 za VD 的 模 2 和 . 即 

f(xirXx2 rs Tn) 一 ao 十 2 > Qi Th Tha Ts, 《10,.2) 


r=1 1<i <is < <i, <n 
aovanawi 忆 Fi, 称 式 (10.2) 为 f(x) 的 多 项 式 表示 。 
党 将 式 (10. 2) 按 变 元 升 血 及 下 标的 字典 序 写 出 
Ca 二 ai 十 Gas 十 了 于 Ge 二 GaN 


,RR ,i C10,. 3 
称 式 (10.3) 为 f(x) 的 代数 正规 型 。 任 一 确定 的 nn 个 变 元 的 布尔 函数 (xz) 的 代 
数 正规 型 式 (10. 3) 是 唯一 的 。 一 个 乘积 项 (也 称 单项 式 )za zi,…zi 的 次 数 定义 为 ~， 
非 零 常数 项 的 次 数 定义 为 0.0 的 次 数 定义 为 一 呈 。 布尔 函 数 f 的 次 数 定义 为 了 的 
代数 正规 型 中 具有 非 零 系数 的 乘积 项 中 的 最 大 次 数 . 即 max{Alai 天 0), 记 为 
deg( 放 或 ”fA。 若 deg(C 门 二 1. 则 称 f(x) 为 仿 射 布尔 函数 。 当 ao 一 0 时 , 仿 射 布尔 孔 
数 被 称 为 线性 布尔 函数 : 当 degf 三 ?2 时 . 称 f(x) 为 非 线 性 布尔 函数 。 
关于 布尔 函数 f(x) 的 下 列 几 个 事实 虽然 简单 .但 很 有 用 。 因 此 ,写成 几 个 引 理 。 
引 理 10.1.1 设 n 是正 整 数 , 令 B, 一 {f(z)|1f(z):2 一 Fs}, 即 Ff, 上 全 体 n 元 


布尔 函数 的 集合 , 则 |B, | 二 2”。 
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证 明 : 因为 Fi 中 共有 2" 个 元 素 ,对 每 个 二 (zi1,X2s，… ,Xn) EF2,f(zx) 的 取 值 
只 有 两 种 可 能 (0 或 1), 所 以 ,n 元 布尔 函数 共有 2” 个 , 即 |B, | 一 2*”。 

引 理 10.1.2 设 f(zx): 本 Fs,n 是 正 整数 , 则 WaCFCz)) 为 偶数 当 且 仅 当 
f(z) 的 最 高 次 项 不 出 现 即 degf 志 nn 一 1。 

证 明 : 由 式 (10.3) 易 知 ,a1.2.… 二 (22 f(z) )mod 2, 这 里 "2)” 是 实数 求 和 , 则 

EFS 

有 ai 一 WaCFGz))mod2。 因 此 ,az 一 1 当 且 仅 当 WaCFCz)) 为 奇数 ,也 等 价 
于 a12.…w 二 0 当 且 仅 当 Wa 《f(zx)) 为 偶数 当 且 仅 当 最 高 次 项 不 出 现 即 degf 志 nn 一 1。 

特别 地 ,平衡 布尔 函数 无 最 高 次 项 zx2*… 工 , 。 

引 理 10.1.3 设 n 是 正 整 数 , f (x): Fi 一 Fs, degf 一 r(0 委 rr 委 2)， 则 
WH (f(z))>2""。 

证 明 : 通过 对 使 用 数学 归纳 法 来 证 明 。 当 二 1 时 ,命题 显然 成 立 。 假 设 命题 
对 一 1(n 主 2) 成立, 下面 证 明 命 题 对 nn 也 成 立 。 

直接 可 验证 ,r= 二 0,n 时 ,有 Wana(f(x)) 宇 2""。 假 设 1 过 r 过 nn 一 1。 不 难 证 明 , 任 
意 7 次 n 元 布尔 函数 (zi ,zs，…,X,) 均 可 以 分 解 为 以 下 形式 : 

F=f (rr am) = Cr ama) (10. 4) 

其 中 degf1 志 +r 一 1,degf: 志 rr。 

由 式 (10.4) 可 知 , 有 WH(f2) 个 形式 为 (x ,zxs，… ,Xx,-1,0) 的 向 量 使 得 /= 二 1, 有 
te (号 Walf) 2 一 三 ) 2 ] 个 形式 为 mi va 


2"—1 2"—1 i 2"—1 2"—1 
zn-1*1) 的 向 量 使 得 /一 1, 而 且 这 两 种 形式 的 向 量 分 别 组 成 的 集合 的 交集 是 空 集 ， 
所 以 


WaCfi)y 2 于: 一 Wa( 广 ) 
2 2 一 


WRCP 一 Wan(P) 十 27 .人 ( 


ml " 
十 2 2 Wt!)] 
pe ml 
=WaC A De WHC) (10. 5) 


车 所 关 0, 则 由 式 (10. 5) 得 Wa (ff) 宇 Wn (1), 由 归纳 假设 可 知 ,Wn(f) 宇 
WHatASSS 

车 刻 二 0, 则 由 式 (10.5) 得 Wa( 放 ) 二 2Wa (fs), 此 时 fs 关 0, 由 归纳 假设 可 知 ， 
Wn =2Wn(fe) 22 0 21 r=2 7 


10.1.2 布尔 函数 的 Walsh 谱 的 定义 及 其 重要 性 质 


由 于 布尔 函数 的 许多 密码 学 性 质 都 可 以 通过 其 Walsh 谱 予 以 刻画 , 故 布尔 函数 
的 Walsh 谱 在 布尔 函数 的 性 质 和 有 关 构 造 与 应 用 研究 中 都 发 挥 了 重要 的 作用 。 
定义 10.1.2 设 取 一 (wyrzz rz)EFz,z 一 (zz…z)EFw 和 z 的 
点 积 ( 又 称 内 积 ) 定 义 为 
Z 记 。 工 一 Zi 十 zz 十 … 十 ro EF, 
nn 元 布尔 函数 了 :一 F 的 第 一 种 Walsh 谱 ( 又 称 线性 Walsh 谱 ) 定 义 为 


时 
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Sj(w) = fz) DY, wEFS (10. 6) 
EF> 
nn 元 布尔 函数 了 :i 一 Fs 的 第 二 种 Walsh 谱 ( 又 称 循环 Walsh 谱 ) 定 义 为 
Su Cw) 一 去 也 ~ Dv, vw EF (10.7) 
Eps 


布尔 函数 及 其 Walsh 谱 可 以 相互 确定 。 下 面 给 出 式 (10.6) 和 式 (10.7) 的 道 变 
换 定 理 。 

定理 10.1.1 任 一 布尔 函数 f: i 一 Fs 与 其 线性 Walsh 谱 Sr(。) 和 循环 
Walsh 谱 So，,(，) 的 关系 分 别 为 


f(D) = DOS) DD", zr EFS (10. 8) 
wEF? 
和 
(一 1D)7e = >)Sdmn (zw)。( 一 Dr ， 工 EF3 (10. 9) 
wEF? 
证 明 : 当 z、 ye 本 天 yy 时 , >) (一 Dot 一 0, 根 据 式 (10.6) 即 知 ,对 任 一 
wEF? 


取 定 的 x € 瑚 .都 有 
> Sr(uw) (— DD™* 


wEGF" (2) 
之 [去 >3. f(y)。(— ed (— Dw 
wEGF" (2) yEGF" (2) 
-i 5 fw[ DD De] 
2 JEGE" 2) WwEGF" (2) 
a SD (一 1)wcrtz 十 二 > f(y) > (一 1Dwcerta 
2 WwEGF"(2) 2 a A 


一 去 f(z) eG 


可 见 式 (10. 8) 成 立 。 同 理 可 证 式 (10. 9) 成 立 。 
式 (10. 8) 和 式 (10.9) 也 称 为 布尔 也 数 的 反 演 公式 。 
例 10.1.3 设 布 尔 函 数 F(Czi,xzs) 一 rizs 十 zi 十 zi 十 1 (xis zs) EB, 则 
f(zi,z2) 的 函数 值 和 线性 Walsh 谱 如 表 10. 2 所 示 。 


表 10.2 例 10.1.3 用 表 


in rn Cn Spa mony 
(0,0) 0 0,0) 地 
(0,1) 1 (0.1) 三 时 
1 
(1,0) 1 1.0) -于 
eis 1 ,DD) = 
1 
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根据 式 (10. 8) , FCzlk ,zz) 可 以 表示 为 


二 (一 1)。 (一 1)m= 二 Dn 二 Dt 


同样 ,也 可 以 用 循环 Walsh 谱 表 示 布 尔 函 数 。 
同一 个 布尔 函数 既 有 线性 Walsh 谱 , 又 有 循环 Walsh 谱 , 那 么 ,这 两 类 谱 之 间 有 
关系 吗 ? 下 面 的 定理 回答 了 这 个 问题 。 
定理 10.1.2 设 Sj(w),wEF 和 So (w),wE 分 别 是 nn 元 布尔 函数 了: 
玫 一 下 的 线性 Walsh 谱 和 循环 Walsh 谱 , 则 它们 之 间 有 以 下 关系 : 
—2S,(w) 也 天 0 
Sj(w) = 、 (10, 103 
上 i. —2Sj(w) w=0 
证 明 : 由 两 种 Walsh 谱 的 定义 并 注意 到 (一 1)72” 一 1 一 2FCz), 可 有 


So (mw) 一 击 忆 (一 Dot 一 击 忆 [1 一 27(z]。( 一 D” 


EPS EF 
喜 一 D 一 各 Df Dw 
zxEFS “zxzErF? 


—2S,(w) 也 天 0 
0 w=0 
由 式 (10. 10) 可 知 , 只 要 能 用 其 中 一 种 谱 给 出 布尔 函数 的 某 种 密码 性 能 的 频谱 特 
征 ,那么 就 不 难 给 出 其 另 一 种 谱 的 频谱 特征 。 究 竟 选 用 哪 一 种 谱 来 研究 问题 , 则 要 视 
具体 情况 而 定 。 
例 10.1.4 求 布尔 函数 F(Czi,zrz) 一 zizz 十 1,(Cziyzz)EFE3 的 线性 Walsh 谱 和 
循环 Walsh 谱 。 
解 : 首先 注意 到 (zl ,zs) 一 zizz 十 1 时 ,有 
Tizz 一 1 全 (zi ze) 一 (人 11)， 
Ziza 十 Zi 一 1e(Czizz) 一 (1,0)， 
Zizz 十 Xz 一 1 全 (zzz) 一 (0,1)， 
ns Ei 1 1 全 (zivzz) CQ Os Ly Css 


因而 
so(0,0) =- 击 于 CD DD CD 
《zl vza)EGF2C2) Crl zz)EGF2C2) 
el 到 坟 
pa x (3—1) 
Spl10) = 二 ”多 (Det 一 3 3 Dat 
Czl ,zz)EGF2(C2) (x1 +72) EGF? (2) 
gl 1 
Ea x (3—1) 5 
SHOD=- DD Camm DD Ce 


(x1 ,72) EGF? 2) (x1 "72) E GF 2) 
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(一 1) 
37 X (3—1) ;> 
S 二 得 工 ] Tz 十 1 十 1] 十， = = 1 Ts+x1 + 
Sistl DD= 2 Dts = 元 2 (一 1D)mamtnatee 
Czl vzz)EGF2C2) (zx1 "72) EGF? (2) 
(一 1) 1 
人 
由 两 种 谱 的 关系 可 知 
人 3 We 1 
S(O0F0N= ztl — Sw (0,0)] = 区 SCLs0) = ns0) = 
Si 
SR 2 LS 4 2 CCP) 4 


下 面 给 出 的 是 Walsh 谱 的 两 个 重要 性 质 ,其 证 明 较 易 , 可 参见 文献 [1]、[3j, 所 
以 这 里 只 列 出 而 不 加 证 明 。 
定理 10.1.3(Plancheral 公式 ) 设 F:F3 一 FF 为 任 一 元 布尔 函数 , 则 


SI LSCw)T = SC(0% = 人 (10. 11) 
reEF2 
此 性 质 又 称 为 初 值 定理 。 
定理 10. 1.4 (Parseval 公式 ) 设 /: 玫 一 F 为 任 一 nn 元 布尔 函数 , 则 
>)[sdnp(w)] 一 1 (10. 12) 
weEFs 
此 性 质 又 称 为 能 量 守恒 定理 。 


从 Walsh 谱 的 定义 出 发 ,容易 推 得 以 下 结果 。 
定理 10.1.5 设 w=(wistwas yw)EFI Zr 一 (zzz，…zn)EF ,FF 一 下。 
为 任 一 元 布尔 函数 , 则 


C1y Sr(0) = P{f(X) = 1} = (10. 13) 
当 ww 天 0 时 

Si(w) 一 圭一 P{f(X) 一 w-X} (10. 14) 
(2) 对 任意 的 wE 碧 ,有 

Sin lw) = 2P{f(X) =w.- X}—1 (10. 15) 


这 里 P{(。} 表 示 概 率 ,X 一 (Xi ,XX ,…，,X),Xi,Xs,…，,X。 为 某 一 概率 空间 上 的 n 
个 相互 独立 且 都 具有 均匀 分 布 的 随机 变量 。 

定理 10. 1. 5 表明 , Walsh 谱 本 质 上 反映 了 布尔 函数 和 线性 函数 的 符合 率 。 定 
理 10. 1. 5 又 称 为 布尔 函数 Walsh 谱 的 概率 表示 式 : 它 在 研究 布尔 函数 的 密码 性 质 时 
发 挥 了 重要 的 作用 。 

例 10.1.5 设 布 尔 函 数 FCzi ,zz) 一 zizz 十 1,(Czzz)EF, 利 用 Walsh 谱 的 概 
率 表 示 式 确定 f(xi zz) 的 线性 Walsh 谱 和 循环 Walsh 谱 。 

解 : 同样 注意 到 F(Czl ,zz) 一 zizz 十 1 时 ,有 


2 
第 10 章 ”频谱 方法 与 技术 24§ 


着 


Ziza2 十 工 1 lS (zi ,xs) (1.,0) 
Tiz2 十 Xz 1 全 (zivzz)》 (0,1) 
4 1 使 (zl ,zz) CLON05 1 Cs 1 


则 
Seip (0,0) =2P{f(X) 一 0} 一 1 一 2P(XIXs 一 1} 一 1 
时 一 二 汪 
一 2X 闻 一 1 
Sn (0,1) =2P{f(X) = Xi} —1= 2P{XiXs+ Xs 一 1) 一 1 
至 二 = 汪汪 三 二 
二 2X 了 于 一 1 3 
Sip (1,0) =2P{f(X) = Xi) 一 1 一 2P{IXIXs 十 Xi 一 1) 一 1 
于 于 
一 2X 计 一 1 3 
Sew (0,0) =2P{f(X) = Xi 十 Xs)} 一 1 一 2P{(XIXs 十 Xi 十 Xs 一 1) 一 1 
二 i 
一 2X 半 一 1 一 也 
由 两 种 谱 的 关系 式 或 定理 10. 1. 5 可 得 线性 Walsh 谱 。 


10.1.3 布尔 函数 的 Walsh 谱 的 快速 算法 


为 了 叙述 方便 ,将 向 量 (xi ,xs,，…,x,)EFs 用 其 对 应 的 整数 x(0 三 x 三 2" 一 1) 来 
表示 。 设 
f= (CF(o) ,Fl1)，…,F(2" 一 1))， Sr 一 (Sr(0),Sr(1)，…,Sr(C2 一 1)) 
则 
Sr = 2™fH. 
其 中 H, 由 下 式 迭 代 来 定义 : 
H。 = (1) 


1 1 He Hi 

二 ( 1m 宣 es | 

四 表示 和 抢 阵 的 Keronecker 积 。 因 为 H: 二 2"1, (这 里 1 是 2"X2" 的 单位 矩阵 )。 于 是 
f= SH, 
这 里 简要 介绍 一 下 计算 布尔 函数 的 Walsh 谱 的 快速 算法 。 设 f+ 和 f? 分 别 表 示 f 
的 前 一 半 和 后 一 半 , 则 
Ss = 2+*fH, = FH 
按 此 规则 一 直 迭 代 到 H。 就 得 到 布尔 函数 的 Walsh 谱 。 
例 10.1.6 设 布 尔 函 数 FCzi ,zz) 一 zizz 十 1,(Cziyzz)EF, 则 

= 0 Dy = 

故 f==(1,1) ,f= 二 (1,0) 
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则 


1 1 1 1 
rm-a.v( =- 20， ram =a.0( l= aD 


Sy= 2 H++FH f=— fm) = 22(3,1, 1 一 1) 
= 
4 4 4 4 
10.1.4 布尔 函数 的 自 相关 函数 的 定义 及 其 性 质 


布尔 函数 的 自 相 关 函 数 可 刻画 布尔 函数 的 “扩散 ”特征 和 “线性 结构 ”特征 , 它 与 
布尔 函数 的 Walsh 谱 可 以 相互 表 出 ,在 布尔 函数 的 性 质 研 究 中 也 发 挥 了 重要 作用 。 

定义 10.1.3 设 F:F3-~Fs 是 nn 元 布尔 函数 ,对 x=(zxi,x2,… ,Xn)EF 和 ;二 
(Sn EE Fsie 


立 十 3 (Xi 十 519X2 十 52 99Tn 十 5a) 
称 
rr 二 站 必 ( Deo (10. 16) 
TEF2 


为 布尔 函数 f :一 Fs 的 自 相 关 函 数 。 其 中 s EF。 
对 任意 两 个 布尔 函数 还 可 定义 其 互相 关 函 数 。 
定义 10.1.4 设 f1(r)、fi(x),zTEF 是 两 个 布尔 函数 , 称 


res) = LD Dicmth®, seFy (10. 17) 
1 2 2 ze 

为 布尔 函数 fi :F3 一 F。 和 fo:F3 一 Fs 的 互相 关 函 数 。 

由 Walsh 谱 的 概率 表达 式 可 知 , 同 样 可 以 给 出 布尔 函数 自 相 关 函 数 和 互相 关 函 
数 的 概率 表达 式 , 这 里 不 再 袭 述 。 

例 10.1.7 设 布尔 函数 .F(zi ,zs) 一 zizz 十 1,(Cziyzz)EFE3, 试 确定 f(zxi,zxs) 的 
自 相关 函数 。 

解 : 由 自 相 关 函 数 的 定义 , 则 对 任意 的 > 一 Cs,sz)EF3. 有 

le De ll Ms a es 
一 sz2Zl 二 5s172 十 $152 

可 见 当 s 二 (51,52) 关 (0,0) 时 ,f(z 十 51 Xz 十 5s2) 十 《zi,xz) 均 是 平衡 的 , 则 
ri(s) 二 0, 而 rj(0) 二 1。 

布尔 函数 的 相关 函数 与 其 Walsh 谱 的 下 述 关系 直至 20 世纪 90 年 代 初 才 被 揭 
示 出 来 ,它们 在 考察 有 关 特 殊 布尔 函数 的 谱 特 征 和 相关 函数 特征 时 很 有 意义 。 

定理 10.1.6 设 f: 下 一 Fs 是 布尔 隐 数 ,其 自 相 关 函 数 和 Walsh 谱 分 别 为 
ri(s) ,ssEF 和 Son ww) wEFN 
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EPPA D™*=[Sw(w)T, weEF (10. 18) 
sEFS 
> [sup GW De=r(s), s EFS (10. 19) 
wEF? 
又 设 布尔 函数 fi (zx)、fz(z),xE 下 的 互相 关 函 数 为 rj y,(s), 则 有 
击 忆 ma (HD: 一 So (am) Sy Cw), wEFS (10. 20) 
sEF? 
>) Su (za) Sg) DY =r(s), s EF (10. 21) 


wEFS 


证 明 : 根据 式 (10. 16) ,对 任意 的 wE 下 ,有 


喜 r6s) »(— DY 


中 


= 去 > [去 SC I 


sxEF2 EF2 


-去 (= 1) > ) (一 1 /tows 


ER se 已 
一 去 区 C= > (一 Df Vthn) 
人 es yEF? 
EE Lt (一 f(D+wz ]。 小 > (一 1)7ep+wy 
[六 纪 ] [ 肥 之 ] 
=[Scp (1w) J 


即 式 (10. 18) 成 立 。 
对 任意 的 sE 瑟 , 有 


2 [So (ww)]?( 一 1)w”* 


weEF? 
一 六 [ 妆 和 wo | 

wEF? vEF2 
= DE De 

ve we 
= De 
wEF2 vEF2 ,vAs wEF2 

=rj(s) 


式 (10. 20) 和 式 (10. 21) 同 理 可 得 。 

例 10.1.8 设 布 尔 函 数 f(xi,xz) 二 xixz 十 1,《Xi1,X2)EF2, 验 证 FCzyzs) 的 
Walsh 谱 和 其 自 相 关 函 数 的 关系 式 成 立 。 

解 : 由 例 10. 1.5 和 例 10.1.7 可 知 ， 
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Cd 0 I ee 0 
wy 2 LR 2 
Sp (ld:=—= ,at = 
try Lg 2” CF) 9 2 

0 天 0 
ri(s) 一 

1 一 0 


访 Dr 1)™= 


sEF? 


1 
4 


5E 有 ,0 


一 [So (w)]? 


忆 [sw wD DY 


wE 


已 


10.1.5 Walsh 谱 应 用 举例 


1. 布尔 函数 的 最 佳 仿 射 盘 近 
设 FF3 一 Fs 是 一 布尔 函数 ,车 w* E 下 ,a€EF, 使 
PIf(X)=a+w" 。X} = max{P{f(X) = b+w* X}:w EF?,b EF,} 
则 称 4a 十 ww”。，xz,XEFI 为 f(x).xEFs 的 最 佳 仿 射 允 近 (BAA)。 
由 Walsh 谱 的 概率 表达 式 有 


P{f(X) 一 0 十 让。z) 


定义 10.1.5 


1 


weEFS 
1 s=0 
0 ss 天 0 


《一 1)75。 


2 Sp (w), 


J [ 2 o 一 D“ 十 rr(C0)] 


w EF 


可 以 给 出 利用 Walsh 谱 求 布尔 函数 的 最 佳 仿 射 台 近 的 一 种 算法 。 


算法 10.1.1 


第 1 步 ,计算 FCz) 的 Walsh 谱 So (rmE 到 , 找 出 
{| So Cw) || vw EFS} 
中 的 最 大 值 | So (ww* )1( 可 能 不 唯一 )。 


第 2 步 ,考虑 Su (w* ) 的 正 负 性 , 若 So (vw* ) 宇 0, 则 ww zzrE 天 


的 最 佳 仿 射 逼近 ;否则 ,zwm"” 。z 二 1,zE 是 f(x) 的 最 佳 仿 射 通 近 。 
例 10.1.9 求 布尔 函数 


的 最 佳 仿 射 逼 近 。 
解 : 由 于 


Crzivzayzas) 一 Zizz 十 Zizs， 


Sito0s0,0) 


Si C05130) 
Seyi 10% 


od ph i 


这 二 王 


总 0 三 
六 0 有 


© 0 sl 


Seip (1,1,1) 一 一 寺 


2 


(Czliyzzyzs) EFS 


是 f(x) 
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故 f(x1 ,za zs) 一 zizz 十 zizs 的 最 佳 仿 射 逼 近 是 
0sz13 Xz 十 Xs3 1 十 zi 十 zs 十 za， (zivzzyzs) EFS 


2. Walsh 谱 在 布尔 函数 相关 免疫 性 判别 中 的 应 用 
在 研究 基于 LFSR( 线 性 移 位 寄存 器 ) 的 非 线性 组 合生 成 器 的 破译 问题 时 , 若 某 


个 驱动 序列 的 状态 xz; 和 输出 的 信号 < 一 (zy,…,zi，…,z,) 的 符合 率 为 证 十 


s(e 二 0), 人 们 就 称 x 和 zx; 是 统计 相关 的 。 利 用 这 种 统计 相关 性 即 驱 动 序列 的 信息 
在 输出 序列 中 的 一 种 泄漏 (又 称 炉 漏 ) 实 施 的 攻击 称 为 相关 攻击 , 且 有 成 功 的 例证 。 
为 了 衡量 密 钥 流 生成 器 抵抗 相关 攻击 的 能 力 , 人 们 提出 了 组 合 函 数 相 关 免 疫 的 概念 。 
之 后 ,人 们 对 布尔 函数 相关 免疫 性 的 等 价 判别 条 件 及 相关 免疫 布尔 函数 的 性 质 与 构 
造 等 进行 了 诸多 研究 。 近 年 来 ,人 们 还 对 一 类 特殊 的 相关 免疫 布尔 函数 一 一 “饱和 最 
优 布尔 函数 ”和 用 于 秘密 共享 的 “严格 欺骗 免疫 布尔 函数 "进行 了 研究 。 

下 面 首先 介绍 相关 免疫 的 定义 。 

定义 10.1.6 设 f:Fi 一 F, 是 任 一 n 元 布尔 函数 ,而 Xi ,X:,…,X, 是 定义 在 某 
概率 空间 (Q,F,P) 上 相互 独立 的 个 布尔 随机 变量 , 且 满 足 

若 对 取 定 的 正 整 数 光 三 n, 对 任意 的 1 三 二 … 二 i 三 nn, 与 布尔 涌 数 f (xi zz， 
… ,Tz,) 相 应 的 布尔 随机 变量 /Xi ,Xs,…*,X,) 与 布尔 随机 向 量 (X; ,…,X;, ) 都 相互 
独立 , 即 对 任意 的 (a1,…,a，) EF? ,都 有 

P{f(X1, Xa Ks) 一 1,X = a Xi 一 an) 


PX = 0O} P{X; 1} li<n 


一 去 PACK Xs, KX,) 一 1 (10. 22) 


或 等 价 地 有 
P{f(Xi1,X2,°, Xn) 一 1|X = as Xi 一 an) 
PR 
则 称 布尔 函数 f :一 Fs 是 m 阶 相关 免疫 的 。 
定理 10.1.7 布尔 函数 /(z).xE€E 是 m 阶 相关 免疫 的 充分 必要 条 件 是 对 任 
意 的 wE:; 1 三 Wn (w) 三 m, 都 有 
SrCw) 一 0 
或 等 价 地 
Sen (mw) 一 0 
证 明 : 略 。 
定理 10. 1.7 通常 称 为 Xiao-Massey 定理 ,是 肖 国 镇 教授 和 梅 西 教授 于 1986 年 
得 到 的 。Xiao-Massey 定理 给 出 了 相关 免疫 性 在 工程 中 便于 验证 的 判别 条 件 , 它 们 
是 研究 布尔 函数 相关 免疫 性 时 很 有 意义 的 经 典 结论 。 
例 10.1.10 3 元 布尔 函数 


0 


0 
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是 非 平 衡 且 1 阶 相关 免疫 的 ,但 不 是 2 阶 相关 免疫 的 。 
证 明 : 首先 根据 定义 来 证 明 相关 免 疫 性 。 
忆 {JCX: ,Xs ,Xas) =0} = P{Xi++ Xi Xs 十 XiXs + XX, = 0} 
一 P{X = 0}P{X.X, = 0} 
十 P(X 一 1)P{CX: 十 1)CXs 十 1) 一 0)} 


PfCOX Rs Xs) =X = PXIXG | RX Ny = 0F = 


2 
P{f(X1,X,,Xs) 一 Xz) 一 了 (XI 十 XIXs + Xi Xs + Xs Xs = X,} 
=P{lXi = OP(Xs (Xs 1) = 0} 
十 P{Xi 二 1}P{Xs(X: 十 1) 二 1} 
1 1 1 


P{f (Xi,X2,X3) =X:} 卫 {Xi 十 XiXs 十 XiXas 十 XXXs Xs} 
一 P{X 一 0)P(Xs(CXs 十 1) 一 0} 
二 PlXi = 1}P{IXs (Xs 二 1) = 


2 4 2 

可 见 (Xi ,Xs ;站 ) 一 XI 十 XiXs 十 XiXs 十 XXX 分 布 不 均匀 但 与 Xi1、Xs、X。 
都 相互 独立 , 即 布尔 函数 FCzi ,za'zsyzi) 一 Zi 十 zizz 十 Zizs 十 zazas 是 非 平衡 且 1 阶 
相关 免疫 的 。 

又 因为 

P{f(Xi,X,,X3) 一 Xi 十 X2)} 卫 {Xi 十 XiXs 十 XIXas + XX A 
=P{X! = 0}P{X, (Xs; 十 1) = 0} 
十 了 (Xi = 1}P{X3(X; 十 1) = 0} 


2 4 2 4 4 

因而 (Xi, Xs, Xs) 二 Xi 十 Xi1Xz 十 XiXs 十 XoXs 与 Xi 十 Xs 不 相互 独立 , 故 布尔 
函数 

JPziszay2ar2) = ri 和 mr wrs | ism (Ziozso2s)y E FS 
不 可 能 是 2 阶 相关 免疫 的 。 

下 面 利用 谱 判 别 条 件 证 明 : 由 上 面 的 证 明 过 程 及 Walsh 谱 的 概率 表达 式 可 得 布 

尔 函 数 

FR sm rs i) = zi rs rs mrs rymrers)y EF 


的 Walsh 循环 谱 满 足 : 
Sipt0s O00 


= S100 = Sep to0r 10N = Sept0r0sWm = 


Sovth,td 


1 
2 
二 
2 nll1,.0, 


| 一 
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Sast0s LL) 一 一 去 ， Sstlsilsly =0 


当 Wa(w)=1;, 即 Soy (1,0;0)=Soyy (0,1,0) 三 Sop (0,0,1) 三 0, 而 Sw (1;1,0)= 
去 关 0 且 Wn(1,1,0) 一 2, 由 Xiao-Massey 定理 可 知 ,该 函数 是 非 平衡 且 1 阶 相关 锡 
疫 的 ,但 不 是 2 阶 相关 免疫 的 。 


3. Walsh 谱 在 扩散 特性 研究 中 的 应 用 
为 了 研究 布尔 函数 的 扩散 特性 ,人 们 提出 了 扩散 准则 的 概念 。 
定义 10.1.7 设 f: 形 一 F 是 一 个 nn 元 布尔 函数 ,车 对 所 有 汉 明 重量 为 1 的 
SEE 布尔 函数 
FCz 十 s) 十 FCz)， 工 FS 
都 是 平衡 的 , 即 FC(。) 的 自 相 关 函 数 ~r(。) 满 足 
rr(5) =0, sEF;, WuH(s)=1 61052357 
则 称 布尔 函数 f(x) ,xzE RE 是 满足 严格 雪 骨 准则 的 。 
定义 10.1.8 设 丰 :本 一 F 是 一 个 nn 元 布尔 函数 。 
(1) 对 于 s€EE, 若 布尔 函数 f(z 十 5) 十 f(x) ,xTE FI 是 平衡 的 , 即 /4(。) 的 自 相 
关 函 数 rj(。，) 在 :处 满足 rj(s)= 二 0, 则 称 f(x),xEF3 关 于 sE Fi 是 满足 扩散 准 
则 的 。 
(2) 若 对 所 有 的 s€E 相 ,1 三 Wn (s) 三 ,布尔 函数 f(x 十 s) 十 f(x) ,XE Fi 都 是 平 
衡 的 , 即 f(。) 的 自 相关 函数 xr;(，。) 满 足 
ri(s)=0, s EF;, 1 WaH(s)k (10. 24) 
则 称 布尔 函数 f(x) ,xzE FI 是 满足 & 次 扩散 准则 的 。 
由 定理 10. 1.6 易 得 以 下 定理 。 
定理 10.1.8 (1) 布尔 函数 FCz),zE FE3 满足 严格 雪 骨 准则 的 充分 必要 条 件 是 
对 所 有 的 so EE,WaGce ) 一 1 且 s 中 的 第 i 个 分 量 为 1,1 二 i 过 n, 都 有 


>) St (ww)。( 一 1D)m% 一 0 (10. 25) 
ve 本 

(2) 布尔 函数 f(z) ,xzE Fi 关于 sE Fi 满足 扩散 准则 的 充分 必要 条 件 是 
> ) Stp (mw) 。( 一 1)”: 一 0 (10. 26) 
weFs 


因而 ,布尔 函数 f(x) .xzE Fi 满足 次 扩散 准则 的 充分 必要 条 件 是 对 所 有 的 s EF， 
1 三 Wn (s) 三 ,都 有 


DD Sj) 。( 一 1D)”… 一 0 (10. 27) 
weEF? 
例 10.1.11 设 布尔 函数 FCzi ,zz) 一 zizz 十 1,(Cziyzz)EF3 ,由 例 10.1.8 可 知 ， 
1 和 
Som (0,0) = 一 万， Sm (0,1) 一 一 序 ， Sm(1,0) 一 一 却 ， Som(0,0) 一 过 


再 由 定理 10. 1. 8 可 知 , FCzi zz) 一 zizz 十 1 满足 2 次 扩散 准则 。 事 实 上 ， 


PN 
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0 0 
ri(s) = | 
1 s=0 


可 知 FCzizz) 一 zizz 十 1 是 满足 2 次 扩散 准则 。 
10.2 ”Chrestenson 谱 方 法 与 技术 


10.2.1 m 值 逻 辑 函 数 的 定义 


以 下 假定 m 三 2 是 任 一 取 定 的 正 整数 ,整数 模 m 的 剩余 类 环 记 为 Z,,。 又 对 任 一 
取 定 的 正 整 数 ” 以 Z% 表示 nn 个 2Z 的 笛 卡 儿 积 。 

定义 10.2.1 设 f(z) 是 从 有 到 Zu。 的 一 个 映射 , 即 对 于 任 一 工 一 (zi,zz， 
xz)E2Zo ,都 有 FCz) 一 zz Xs)EZn;, 则 称 f(zx) 为 Z% 上 的 n 元 m 值 逻 辑 
函数 , 记 为 f:Z% 一 Zn 或 f(x),XEZr。 

易 知 ,Z% 上 的 nn 元 m 值 逻 辑 函 数 共 有 mw 个 。 

当 m 是 素数 时 ,m 值 逻 辑 函 数 如 同 布尔 函 数 一 样 也 有 真 值 表 表示 、 小 项 表示 和 

例 10.2.1 m= 二 3 时 ,车 1 元 3 值 逻 辑 函 数 是 

f(0)=2, f(1)=1, f(2)=0 

则 有 


六 CE 2z 十 2， x EZs 
当 m 是 合 数 时 ,m 值 逻 辑 函 数 可 有 真 值 表 表示 和 类 似 于 小 项 表示 的 如 下 表示 : 


f(x) 一 了 (10. 28) 
<zm 
其 中 
1 工 一 < 
T(x) 一 
0 xc 


值得 一 提 的 是 ,尽管 此 时 2Z,, 上 的 任 一 多 项 式 都 可 以 表示 为 一 个 mm 值 逮 辑 函 数 ， 
但 是 任 一 妈 值 逻辑 函数 却 不 一 定 有 多 项 式 表示 ,. 且 有 多 项 式 表 示 时 也 不 一 定 唯 一 。 


10.2.2 Chrestenson 谱 的 定义 及 其 基本 性 质 


如 同 布尔 函数 的 许多 密码 学 性 质 都 可 以 通过 其 Walsh 谱 子 以 刻画 一 样 ,m 值 逻 
辑 函 数 的 许多 密码 学 性 质 也 都 可 以 通过 其 Chrestenson 谱 巴 以 刻画 , 故 m 值 逻 辑 卫 
数 的 Chrestenson 谱 在 浆 值 逻辑 函数 的 性 质 研 究 中 仍 能 发 挥 重 要 作用 。 
定义 10.2.2 设 z= 王 (ziyzzy…zo)EZn ww 一 (zz )EZ 和 zw 的 
点 积 定义 为 
亡 。 并 一 WX 十 zzz 十 … 十 ro EZLn 
设 FCz),zEZ 为 n 元 m 值 逻 辑 函 数 . 称 


0 ET Oe (10. 29) 
772 
ze 
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SD = aim we (10. 30) 
772 


xEZm, 


分 别 为 f(z) 的 第 一 种 Chrestenson 谱 ( 又 称 线 性 Chrestenson 谱 ) 和 第 二 种 
Chrestenson 谱 ( 又 称 循环 Chrestenson 谱 )。 其 中 uexp (2 站 .一 、—Ls 


< 
m 
显然 , 当 m= 二 2 时 ,Chrestenson 谱 就 是 Walsh 谱 , 这 说 明 Chrestenson 谱 是 
Walsh 谱 的 一 种 推广 。 
下 面 介绍 式 (10. 29) 和 式 (10. 30) 的 反 演 公式 。 
定理 10.2.1 任 一 nn 元 m 值 逻 辑 函 数 FCz) 与 其 线性 Chrestenson 谱 和 循环 
Chrestenson 谱 的 关系 分 别 为 


f(z) = >)Sr(z) eu:, zx EZ KO: 
ED 
和 
uD 一 >)Sdn(w) ru:, zx EZ (10. 32) 
we 台 


证 明 : 由 Chrestenson 谱 的 定义 易 得 。 
例 10.2.2 设 2 元 3 值 逻辑 函数 
CCziyzz7 一 zz (2iyzz) EZ 
试 确定 其 循环 Chrestenson 谱 。 
解 由 Chrestenson 谱 的 定义 有 


Sp C0,0) 一 训导 om 一 二 (5 十 2 十 202) 一 二 
(x1 72) EZ 
Sp (wi YU2 ) 一 2 a Ve es Va 
(zx1'z2) E22 
一 a > i 0 ea > Uris 
E (zx1'z2) E22 有 (yy2) ED 
一 rm Sg(0,0) = A ， (Wir) EAS 
即 
" _ ss ss ~ 1 
Su (0,0) = Sn (0,1) = Sm (1,0) = Sp (0,2) = Sp (2,0) = 训 
， 坟 Ss i 二 1 2? 
Son (1,1) = 0, So(1,2) 一 Son (2,.1) = Fu Son (2,2) = Fu 


例 10.2.3 设 2 元 4 值 逻 辑 函 数 
FPCziyza) 一 -zy (Zio2zy EZ 
试 确 定 其 循环 Chrestenson 谱 。 
解 : 由 Chrestenson 谱 的 定义 有 
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总 0 二 二 DD 区 二 二 工人 (80 十 各 二 合十 2 二 土 
, 16 4 
(172) EZ 
于 是 有 
I =- 十 DD) i 一 一 BD i ts 
(Cx8 ,rE RL Crl 22) EZ 
-or BD) i = im So (0,0) = ， (wi yzos) EZ 
(yy2) EZ 


即 
Sw (0,0)= Sop (1,0) = Som (0,1) = Seon (2,0) = Som (0,2) 


= Si (8,0) = Sey (0,3) = S22) = 


Stlody 一 一 二 i Se 2) = Gp CL 2 一 一 于 
Sm(3,1) = Su (1,3) = +i 

、 , 二 1 ， 
Su (3,2) 一 Su (2,3) 一 一 十， Su (3,3) = 一 十 i 


由 Chrestenson 谱 的 定义 可 推出 关于 Chrestenson 谱 的 下 面 几 个 基本 性 质 。 


定理 10.2.2 设 Fz),sgCz),zE2Z 都 是 nn 元 m 值 逻辑 函数 , 则 Chrestenson 
谱 有 以 下 性 质 : 


1 Smr(C) 一 乙 Sr(uo)Se(w 一 上 D)， wEZ' (C10. .33 
veEzn 

(2) Sirp (w= 2 SVSww—v), wEZ', (10. 34) 
wen 


定理 10.2.3 设 m 值 逻辑 隐 数 f(x),xEZ% 的 线性 Chrestenson 谱 为 Sj(w)， 
上 E 2 , 则 


BD) | srGeo) |: = Sp (0) (10. 35) 
we 


此 性 质 又 称 为 初 值 定理 。 这 里 1Sjy(w) | 表示 Sy(w) 的 模 即 绝对 值 。 


定理 10.2.4 设 m 值 逻辑 函数 f(x),zE 肥 的 循环 Chrestenson 谱 为 Sj (tw)， 
wEZ”,, 则 


Bl | Son(w) 1: 一 1 (10. 36) 


weEzn 
此 性 质 又 称 为 能 量 守 恒定 理 。 这 里 | So (w) | 表示 Se) (w) 的 模 即 绝对 值 。 

从 Chrestenson 谱 的 定义 出 发 ,容易 推 得 以 下 定理 

定理 10.2.5 设 f(zi,zz ,Xs) (ZX1sX2，"… ,Xs) EZ 是 任 一 m 值 逻辑 函数 ， 
对 任意 的 友 王 (zzz ww) EZ 以 w= 二 (wr tw? ,zu ) 表 示 它 在 加 法 群 Za 
中 的 逆 元 , 记 

= (Xi Kas KR) tw 。 KX = wr Xi 十 wz XK 二 十 wr XX, 

则 zx 值 逻 辑 函 数 4(，。，) 的 线性 和 循环 Chrestenson 谱 可 分 别 表示 为 
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ml ml 


Sj(w) = >) DiP{fOXY =iw" X=j); wWEZs (10.37) 


i=0 j=0 


ml 
Snw) = DuwP{f(X)—w. X=r} 


r=0 


ml 
= DuwP{f(X) = w- X+r} 


r=0 


m1 
= DwP{flz) 十 记 ”。X 一 ”} 
r=0 
ml ml 


= >) >)uriP{FCX) =isw .X=j), wEZ, (10. 38) 


i=0 j=0 
式 (10. 37) 和 式 (10. 38) 也 称 为 mx 值 逻 辑 困 数 的 Chrestenson 谱 的 概率 表示 式 。 
例 10.2.4 设 2 元 4 值 逻 辑 函 数 
Ci 一 《2 
利用 Chrestenson 谱 的 概率 表示 式 来 确定 Chrestenson 谱 。 
解 : 首先 注意 到 
Ziza 一 0 全 (ziyzz) 一 (0,0),(0,1),(0,2), (0,3), (1,0), (2,0)， 3,0)， (2,2) 
Ziza = 1 合 (ziyzz) 一 (1,1), (3,3) 
Ziza 一 2 全 (ziyzz) 一 (1,2), (2,1), (2,3), (3,2) 
Ziza 一 3 全 (ziyzz) 一 (1.3), (3,1) 
当 (wr ,wi? ) 一 (0,0) 时 
PXIX, = 0 NO = 


即 
P{XiXs 一 0,0。 Xi 十 0.Xs 一 0)} 一 南 
0 1 
PR = Ly0s B06 = 
一 P{XiXs 一 3,0. Xi 十 0 Xs 一 0} 一 去 
P{XiXs =j;0. Xi 二 +0. Xs =k)=0,， 上 头 0 
则 
3 3 
Sip050) = >) DP {XK = ji0= Kit0- Xs = 
j=0 k=0 
1 ;0 1 ;1 1 ;2 时 .3 L 
i a rr 4 


当 (vwr ,zu ) 一 (1,1) 时 
P{XiX: 一 0,Xi 十 Xs 一 0} 一 了 (XIX 一 3,Xi 十 X: 一 0) 一 


P{XiX: 一 1,Xi 十 Xs 一 0) 一 PXIX 一 2,Xi 十 Xs 一 0) 一 
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卫 {XiX: 一 0,X 十 Xz = 1} 卫 {XiX: = 2,Xi 十 X: = 1}= 


P{XiX; = 1,Xi 十 Xs 一 1) 一 了 LUXIX。 一 3,X 十 Xs 一 1) 一 
卫 {(XiXs = 0,Xi 十 Xs 一 2) 王 了 (XIXs 一 1 Xi 十 Xs = 2} = 
P{Xi1X: 一 2,Xi 十 Xa 一 2) 一 了 (XIXs 一 3,Xi 十 Xs 一 2) 一 


P{Xi1X, 一 0, Xi 十 Xs = 3} 一 了 (XIXs 一 2,Xi 十 Xs = 3}= 


wo- wl © ol 


P{XiXs = 1,Xi+ X= 3}= P(XiX: 一 3,X 十 Xs 一 3) 一 
则 


3 3 
Sn (3,3) = >) DMP {XX = 7,Xi Xs 一) 


j=0 k=0 


一 吉 X 训 十 喜 X 吉 十 吉 X 六 十 吉 X 训 十 己 
X24 1 六 生 X24 1 jis 
8 8 
= = 


其 余 情况 类 似 可 得 。 
10.2.3 两 种 Chrestenson 谱 之 间 的 关系 


首先 给 出 一 个 重要 引 理 。 

引 理 10.2.1 设 X==(Xi,X:,…,X,) 是 概率 空间 (Q2,F ,P) 上 的 n 维 m 值 随机 
变量 , 则 Xi ,Xs ,…,X,。 相互 独立 且 都 具有 均匀 分 布 的 充分 必要 条 件 是 对 任意 的 wwE 
Z" 且 w 关 0, 有 

一 六 一 0.d (7 一 1)d 
P{w。X 一 r}) 一 17 ， rE€EZn (10. 39) 
Os rs Od ,Cm OD— ld 


其 中 4d 为 多 = yw str) 中 的 ,ros，…… ,tw 和 wm 这 十 1 个 数 的 最 大 公约 数 ， 
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而 7 一 本 。 


d 
定理 10.2.6 设 f(zx),xzEZ% 是 任 一 m 值 逻 辑 孙 数 ,对 任 一 取 定 的 wEZ, 记 


1 


y= DwP{f(X) =isw .X=j}, i=0,1,…,m—1 


则 有 
Wi 1 ;二 0 
之 Ee fo a (10. 40) 
证 明 : 当 w= 二 0 时 ,有 w* 二 0, 注 意 到 
0 j 关 0 


P{f(X)=i,w” 。X 一 7 了 ) 一 
尝 了 及 人 j=0 
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即 知 


ml ml 


3 =2) DwP{f(X) =i,w .X=j} 


i=0 7 一 0 


一 号 ptrcx) 一 奸 一 1 


当 w 了 关 0 时 ,有 ww* 关 0, 记 w= 二 (wr ww) ,又 记 ww zy 和 mn 
的 最 大 公约 数 为 4d .而 wm 一 分 ,注意 到 w”" 一 1 一 0, 由 式 (10. 39) 即 知 


ml ml 


ml 
= 2 wpP {RY =i" X= 
i re 
ml PE 一 1 

= w [PI 一 im + X=j}] 
j=0 i=0 


ml be 本 


一 “Pt X=} 二 和 Se 
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一 1 一 1 
m uo—1 m wu—l1 
一 0 
综 上 所 述 ,可 知 式 (10. 40) 成 立 。 

对 A 二 0,1,… om 一 1, 以 下 记 m 值 逻辑 孙 数 f(x) 十 4,XEZ% 的 线性 Chrestenson 
普 为 Sj Cw) ,WwEZ%; 又 对 上 二 1,2,…,m 一 1, 记 m 值 逻 辑 函 数 kf (zx) ,zxE Zr 的 循 
环 Chrestenson 谱 为 Sup (w),wE ZZ"。 

下 面 的 定理 首先 给 出 用 产值 逻辑 函数 

二 2 一】 
的 线性 Chrestenson 谱 SrrCao),wEZ 线性 表 出 mx 值 逻辑 函数 
Ef(x)s EZ k= 1923 一 了 
的 循环 Chrestenson 谱 Sup (w) ,zwEZ 的 关系 式 。 

定理 10.2.7 对 任意 的 nn 元 m 值 逻 辑 函 数 FCz),zE2Z 及 任意 的 zE 2 和 

k= 二 1,2,…,m 一 1, 都 有 


ml 
Ska = Spi (ww) 一 Sxei(a)] (10. 41) 
把 
c= 河村 km—a—l) ud Spa Cw) 
mm re 
-= 1 ml 
= DSmlw) (C10. 42 
m Sy 


证 明 : yi;,i 一 0,1,…,m 一 1 的 定义 如 定理 10. 2.6. 则 


ml ml 
Smlw) = Gt mam [WP{fX) =ivw + X=7}] 
| | 


ml 
= OGHAmamy: A=0,1,.…,m—1 (10. 43) 


i=0 
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则 
ml 
Sap (am) = Duryi, k=1,2,..…,m—1 (10. 44) 
解 下 列 组 成 的 方程 组 
[ 二 二 Tor Ww) 
0 二 yi 十 2yz 十 十 Cm 一 2)ywz 十 Cm 一 1)yw1 一 SrC) 
yo 十 2 十 3ys 十 … 十 (2 一 1)yw 十 0 一 SrHCe) 
(2 一 2)yo 十 (2 一 1)3y 十 0 十 … 十 (2 一 4)ym 十 (一 3)ym ll = Spim2 (Ww) 
(mm 1)ye 十 0 十 ys we Sprm1i(w) 
得 到 
yi = 十 (re Cw) + [Sp (Ww) — Sp Cw)])}, i=0,1,.,m—1 


ml 


将 之 代入 式 (10. 44) 并 注意 到 >)w 二 0, 二 1,2,…,m 一 1 即 得 式 (10. 41)。 青 
将 式 (10. 41) 稍 作 变形 即 得 


mn 一 1 


Sup (w) = 遍 [ 之 光 Si = Du ‘Spm-i(w)] 
ml 
= 二 [ 之 aD) Sm(w)— eis a CT) ] 
= 二 时 [wr ud Sp Cw) 
1 下 1]u* Slw) 
mi 
可 见 式 (10.42) 也 成 立 。 


根据 式 (10. 40) 和 式 (10.43). 则 有 


7 一 1 ml 
2 Smlw) = 2 2 GHA mm = >)y: 2 [LCA mm] 
A=0 


4=0 i=0 i=0 A=0 


和 
一 Sy[Y 让 多 m= 1 
Oe 三 向 
0 wZ0 
下 面 的 定理 给 出 了 用 产值 逻辑 函数 
kf(x), Zz EZ k= 1,2,.…,.mO—1 
的 循环 Chrestenson 谱 Sap (ro ,wE Zr 线性 表 出 mx 值 逻 辑 函 数 
zz 十 ZrzEZ, 一 0, 1 一 1 
的 线性 Chrestenson 谱 Srra(Ca) ,Spra(w),wEZ% 的 关系 式 . 这 里 采用 的 同样 是 解 线 
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性 方程 组 的 简单 方法 。 
定理 10.2.8 对 任意 的 nn 元 m 值 逻辑 函数 f(z),rEZr 以 及 任意 的 wEZm 和 
A 二 0,1,…,m 一 1, 都 有 


7 一 1 
SC (10. 45) 
i=0 
其 中 
7 一 1 
SY a HG 
Si 二 圳 1 (mw) 十 局 3 Sap (w) (10. 46) 
因而 
二 uth 
Sm(w) = 于 一 Ly Pe + Sp Cw) CLO. 47 


2 
证 明 : 由 式 (10. 44) 可 得 以 下 关于 


ml 
yi = DJwP {FX) =i,w 。X=j}, i=0,l1,*…,m—1 
j=0 


的 方程 组 


yo 二 Uyi 十 yz 十 "十! yml Sp (Cw) 


yo 十 ty 十 Wyz 十 十 UD 了 ym 二 Sep (w) 


36 十 tpyi 十 zys 十 … 十 xD4yw = Soap (w) 


oo 十 zol 十 zeorDye 十 …… 十 zeorDorDyw il = Som vp (vw) 


注意 到 ik 二 0,1,…,m 一 1 时 ,成 立 


m k=i 
0 ki 
依次 在 以 上 第 (k= 二 0,1,…,m 一 1) 个 方程 的 两 端 同 乘 以 ws” > 再 相 加 即 得 


1 uo ud us od De om Dm 一 | 


mn 一 1 
Cm— Dy— Dy; = Du ?Sa lw), i=0,1,.…,m—1 
ji k=1 


由 此 , 据 定 理 10.2.6 有 
.Dy 1 ud Sap Cw) 


一 二 ro Cw) 相关 1 Sop Si Cw), | 
7 


7 一 了 
将 之 代入 式 (10. 43) 即 可 得 式 (10. 45) 
m—1 
Di sax tritet zr) | 
l=0 dz 


me 和 二 2] 
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一 1aar 1l 十 71adm 十 1 一 cm 
| CGI 一 oj ] 
LX ed i ) 
Te Te 
大 
m m mu 
一 2 一 Te k 一 


又 可 有 


ml 
Sm(w) = > (i A) moam Ss 


i=0 


m1 
一 二 Te (Cro) 六 EGG 十 A) cmoam J 


i=0 


ml 
Le i 


i=0 


7 一 1 
A sa 
J 


ml ml 
= lo w+ Li I Son Cw) cu Se us 
m r=1 1=0 
ml 
m—1 1 mu* 
slo (w) + 高 和 Sun Cw) 二 二 
a wl trDk 
a 
2 es = 


即 式 (10.47) 也 成 立 。 

定理 10. 2.7 和 定理 10. 2. 8 表明 .m 值 逻 辑 函 数 的 两 种 Chrestenson 谱 能 够 相 
互 线性 表 出 ,因而 mm 值 迎 辑 函 数 的 凡 能 用 一 种 Chrestenson 谱 予 以 刻画 的 性 质 用 另 
一 种 Chrestenson 谱 也 能 刻画 ,这 为 研究 问题 带 来 极 大 方便 。 

例 10.2.5 设 2 元 3 值 逻 辑 函 数 

JrCziyzz) = Zizz， 

验证 两 种 Chrestenson 谱 之 间 的 关系 式 成 立 。 

解 : 由 Chrestenson 谱 的 定义 有 : 

(1) flzi ,zs) 的 线性 和 循环 Chrestenson 谱 分 别 为 


(X172) EZ 


Sy(050% = 三 ， Sr(0,1) = Sr/(0,2) 一 Sr(1,0) = S/(2,0) 3 
SID = S81(2,2) = S112) = S$/(2,1) =0 
和 
Sw (0,0) = Sen (0,1) = Sop (1,0) = Sip (0,2) = Se (2,0) 一 工 
Sw (1,1) = 诗 ， Sp (1,2) = Sop (2,1) 一 EE Sw (2,2) 一 言 志 


(2) FCzizz) 十 1 的 线性 Chrestenson 谱 为 


Sim(0,0) 一 1， 


Sma(0,1) = Sm(0,2) = Sma(1,0) = Sp(2,0) 一 0 
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和 
3 
(3) Cr zs) 十 2 的 线性 Chrestenson 谱 为 

4 1 


Sra(0,0) 一 本 ， Sra(0,1) = Sra(0,2) = Sra(1,0) = Sma(2,0) 一 本 


国人 于 


Sp(1,1) = Sp(2,2) 一 一 


二 Sra(1,1) = Sps(2,2)=0 


(4) 2f(zi ,zz) 的 循环 Chrestenson 谱 为 


Sz(l1,2) = Sp (2,1) 一 一 


Sen (0,0) = Sop (0,1) = Sop (1,0) = Sop (0,2) = Sop (2,0) = 于 


Sep (1,1) 一 去 <， Son 人 一 San625i = Tas Son(22) = Li 


3 3 
由 式 (10. 42) 


SEE 
So (w) 一 43 1 Cy a Sat 4 ud at 


Sep (w) 一 lS/(w) + uSpn (Cw) + uw Sp (1w)) 
将 上 述 值 代入 即 可 得 结论 。 如 w= 二 (1,1) 时 


sr,1) 一 村， Sm(1,1) 一 一 二 ， Sai(l;1) = 0 
Su 《1.1 二 诗 民 ， Sen (1,D) = 十 
== 
Sw (1,1)= 5 lsh ly tt ly ntl 
(3 $e ) wu 
Be 3 
ee 


Seep (1,1) = (Sj(1,1)+uSp(l,1)+u Sp 1,1)) 


村 一 站 1 u 
3 (3 #4) 3 


3 


由 式 (10. 47) 
2 
Sj) = Lo) + nD) + Sn Ce) 
2 
Sp(w) = Lo (w) 十 TS Cw) 十 一 天 一 Snp Cw) 
= 一些 

Sr (eu) 一 Fo Cw) 十 全 -Sn Cw) 十 TSen 6 而 

当 将 上 述 值 代入 即 可 得 结论 。 如 zw 一 (1.:1) 时 


SG 全 去 ， 有 和 一 一 于， 二 而， 


1 
So (1.1) = FL, Sen(1:1) = 3u 
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SrG,D 一 i 六 (1,1) 十 TSen(1,1) 
u 1 > 下 1 
和 
2 
Snailys= TS D+ Sen ,1) 
us 而 ci u 1 有 
人 i 人 
SS 
.== 1 一 4% 
到 
Ta 


10.2.4 Chrestenson 谱 的 快速 计算 


在 Chrestenson 谱 的 研究 与 应 用 中 .其 快速 计算 是 一 个 非常 重要 的 问题 ,因为 它 
关系 到 其 应 用 的 有 效 性 问题 。 本 节 将 简要 介绍 一 种 计算 Chrestenson 谱 的 快速 
算法 。 

为 了 讨论 方便 起 见 ,假定 m= 二 p 为 素数 ,A, 二 (uw 了 )pxp ,wTEZ;,w 和 x 以 字 

序 取 值 。 
例 10.2.6 当 n==1,p 二 3 时 , 则 


1 1 
A 
| 0 7 )/ 


为 了 叙述 方便 ,将 向 量 (zi ,xs，… ,Xx,) EZ 用 其 对 应 的 整数 xz(0 三 x 三 p" 一 1) 来 表 
f= (fC0),f0),.…,f(2" — 1)) 
Uf = Cf ,af ,oo PD ) 
S/S= SO Sy (I) Si — 1)) 
Sen = (S00)s Sep I) St(2" — 1)) 
由 Chrestenson 谱 的 定义 式 (10. 29) 和 式 (10. 30) 可 知 


1 a 
= Lf/A. (10. 48) 
”′ pp 
Sw = pr (10. 49) 
其 中 4A, 表示 A， 的 复 共 轿 即 A, 一 (uw *'*)yrxp。 
对 给 定 的 多 二 (wi ;tw … tw) , 置 而 二 (ws ,tz ,tw1) 1 p”Xp” 阶 对 


称 矩 阵 4,, 置 ,表示 满足 以 下 条 件 的 因 Xz 阶 对 称 和 矩阵 : 入 的 第 w 行 ( 列 ) 是 A, 的 
第 元 行 ( 列 ), 令 
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0 20 0 
oo fi tl 
外 时 1 
POC1"" "Epi 


Ms 
E021°""Cp—l 
0 ,0 0 
eEoel "ezp-1 
| 省 
| €0€1°"*Ep-—1 


《一 
eliel…eb) i 
cebrle 人 1 …e 拓 
eb 1 ef 1+ es! 
ef!lef .et 
则 可 以 证 明 
A, = (C.,)” (10. 50) 


其 中 e,=u',t=0,1,…,p 一 1。 
利用 4， 的 分 解 式 (10. 50) 及 式 (10. 48) 和 式 (10. 49) 可 有 效 地 计算 Chrestenson 谱 。 
例 10.2.7 设 2 元 3 值 逻 辑 函 数 
f(zisxs) = Tixss (zzo) € 23 
利用 快速 算法 计算 Chrestenson 谱 。 


解 : 
1 1 1 1 1 1 1 1 
和 
| 
1 1 u u ”i 
A:=|l1 wu az wu uu: 1 2 
1 ze wu 1 wu a u | 
| 1 u 
La a i 1 i 1 
5 We Se 1 u 1 
则 
| 中 1 1 1 1 1 1 
E ur EW 1 wu | 
| 1 wm u uu? 
有 下 u 
A, = | 2 u uu? u 和 u 1 uz 
| : 证， 六 二 大 :十 .被 下 | 
| u 本， 本 2 
| zt uu a bl 1 
1 x 2 u 
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f= Cf00),f60) ,ff(2"—1)) = (0,0,0,0,1,2,0,2,1) 


i = CV Dy = Lu) 
Sr 一 (Sr(0)，Sr(1)，…， Sr(2" 一 1)) 
LE 二 2 1 1 % | 1 1 
ofA: (3. a? 3， 了 ,本 0， 二 ,0, 寺 】 


Sey = CO (0 SD St 1 


和 六 二 1 1 -32 1 1 :> 
9 A: ( 言 : 言 ' 言 ' 言 , 言 人 计 必 言 , 襄 必 计 4 


10.2.5 m 值 远 辑 函 数 自 相 关 函 数 的 定义 及 其 性 质 


如 同 布尔 本 数 时 的 情况 一 样 , 下 述 结 论 在 研究 多 值 逻辑 函数 的 有 关 性 质 和 构造 
时 也 能 发 挥 很 好 的 作用 。 
定义 10.2.3 设 f(x),xzEZ% 是 nn 元 m 值 逻 辑 函 数 , 对 
= (TT) ELE = (sm) EZ 


记 和 十 5 二 (zi 十 5s23 十 5 0 oT 十 5 );s 称 


rr(s) = 1 > urerro-ren ， s ED (10.51) 
m7 zEz 


为 n 元 m 值 逻 辑 函 数 f(z),zEZ% 的 自 相 关 卫 数 。 
定义 10.2.4 设 f1(z),f;(x),TEZ" 是 两 个 n 元 m 值 迎 辑 函数 , 称 


i 二 直 Du ， 5 EZ 《10. 52) 
zEezm 


为 n 元 m 值 逮 辑 函 数 f1(z) 和 f(x) 的 互相 关 函 数 。 
例 10.2.8 设 4 值 逻辑 函数 f(xi,xz)= 二 zz 十 1, (Xxi,Xxz) EZ2i, 试 确定 
flzi,X2) 的 自 相 关 函 数 。 
解 : 由 自 相 关 函 数 的 定义 , 则 对 任意 的 > 一 (ssz)EZ ,有 
二 二 二 


= szZli 十 Sizz 十 Sisz 


rr(0,0) 一 1， 
rr(0,1) 一 六 iertor-1em 一 让 (4 十 4 十 4 十 4ia) 一 0 
zE22 

由 对 称 性 ,有 
rr(0,1) 一 rr(1,0) 一 rr(0,3) 一 rr(3,0) 一 0 
rr(0,2) = iertor1en 一 走 (8? 十 82) 一 0 

x 
由 对 称 性 ,有 


rrf0,2) = rr(2,0) = 0 
当 gcd(s1,52) 二 1 时 ,sz 十 sizs 十 sisz 是 平衡 的 , 则 rjy(s1 ,sz) 二 0, 即 
oy Wb ee ey Ey ep a 
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rr(3,1) = rs(3,2) =0 
当 gcd(s1,52) 二 2 时 ,sz 十 sz 十 sis 只 取 0 和 2, 且 当 z 跑 遍 2Zi 时 ,只 取 0 和 2 的 
个 数 相等 , 则 rj(Csi ,ss) 二 0, 即 
ri(2,2) 一 0 

当 (si,sz) 一 (3,3) 时 ,sz 十 sz 十 sisa 是 平衡 的 , 则 (3,3) 一 0。 

下 面 定 理 刻画 了 疡 值 逻 辑 末 数 的 自 相 关 郴 数 与 其 Chrestenson 循环 谱 之 间 的 
关系 。 

定理 10.2.9 设 f(r),rEZ% 是 m 值 逻 辑 函 数 , 其 自 相 关 函 数 和 Chrestenson 
循环 谱 分 别 为 rj(s) 和 Sop Gro), 则 


LB) or 一 | Sn I, w eZ 《10.53) 
mm Ez 
2 1 St) | E (10. 54) 
wEZ, 
又 设 f1(z) ,fsa(z) ,xzE Zn 是 两 个 m 值 逻 辑 函 数 , 其 互相 关 函 数 为 jy, (5), 则 
nn (S)) ru = So (ww)。So w), w EZ ClO 55 
m se 
2) Su ww) 。Sd WwW) ur = rp(s), s EZ (10. 56) 


we 


证 明 : 根据 m 值 逻 辑 卫 数 自 相 关 函 数 的 定义 知 , 对 任意 的 wE 2Z%, 有 
上 D3 rj(s) ew = (去 2 上 二 


772 m™ 77™ 


了 开导 EZ 
二 一 fCz) Crz+H9 一 wes 
-起 Du De 
z€EZn :En 
1 总 一 wz 
二 二 > ze 一 Am? Se Uf Pw nD) 
TEZm >E Zm 
1 总 和 i 
=( ~ Du fz)tuer | 。 > zw 
27 m 
xEZh, ?>EZm 


一 Sep (zw) .Sop (让 ) 一 | Sop (w) 1 
因而 式 (10. 53) 成 立 。 


2 | So Cw 1 -ur = 2) [ >)rr(o) 。 ws Us 


ED mmEZ vEZ 
1 Weber 
-iD Du 
Wen ae 下 
1 we 1 i 
一 rr(5) Du 二 二 > rj(v) Du a 
m m 
weEze vwE Zn vs me 到 


=rj(s), ED 
同样 可 证 式 (10. 55) 和 式 (10. 56) 。 
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10.2.6 Chrestenson 谱 的 应 用 举例 


1. m 值 远 辑 函 数 的 最 佳 仿 射 逼近 
定理 10.2. 10 对 任 一 nn 元 m 值 逻 辑 函 数 FCz),zE ZU 及 任 一 wEZ% 和 < 和 
2 ,都 有 


7 一 1 
二 三 动 吉 区 咎 动 三 二 + 元 > i Cd (10. 57) 
k=1 


证 明 : 注意 到 对 任 一 wEZ% 和 上 二 1,2,…,m 一 1 ,都 成 立 


三 工 到 1 . 
Sup (kw) 四 Uw = 一 一 > Nu a] 
m 
zEZm zE 双 


ml 
= DWwP{f(X) =w. X+a) (10. 58) 
a=0 
记 
ya = P{f(X)=w.* Xi+a}, a EZ, 
则 由 概率 的 性 质 和 式 (10. 58) 可 得 
yo 十 十 yz 十 … 十 yl 一 1 


yo 十 zyi 十 zy 十 … 十 zy Scm (w) 


yo = uy1 十 us yz 填 韦 Wg = Sup (kw) 


(Co 一 1) 
加 十 zy 二 wD yz 十 十 wD) 


T T T Ym-l 一 Scem-vp (tw) 


解 上 述 关 于 % 王 P{FCX) 一 局 。X 二 aeEZ 的 方程 组 即 知 式 (10. 57) 成 立 。 
由 定理 10. 2. 10 立即 得 到 下 面 多 值 逻 辑 函 数 的 最 佳 仿 射 双 近 谱 表 示 定 理 。 
定理 10.2.11 对 任 一 mm 值 逻 辑 函 数 f(zx),XEZ, 若 w” EZ, 和 a* EZ， 
使 得 
3 Ww Sap (kw" ) = max{ 3 E Zsa EZn} 
k=1 


则 zo*。z 十 a ,TEZ% 即 为 z2 值 逻辑 函数 FCz),zE 的 最 佳 仿 射 逼 近 。 

2. Chrestenson 谱 在 m 值 远 辑 函 数 相关 免疫 性 判别 中 的 应 用 

定义 10.2.5 设 J(zizz，…ze)， (ziz…z)EZ2 是 nn 元 m 值 逻 辑 函 数 ， 
车 对 任意 的 1 三 计 二 … 二 i 三 n,m 值 随机 变量 (Xi .和 X;,…,X,) 与 m 值 随机 向 量 
(Xi ,Xs，"… ,Xi ) 都 相互 独立 , 则 称 z2 值 逻辑 函数 (x srs… ,I) Crzyza sn) 
EZ 是 kk 阶 相关 免疫 的 。 

同 布 尔 函 数 一 样 ,给 出 以 下 谱 判 别 定理 。 

定理 10.2.12 m 值 逻 辑 函 数 FCzi .zy ZX) (XTi:X2 yz)E2Z2 为 k 阶 相 
关 人 免疫 的 充 要 条 件 是 对 任意 wE2Z,1 三 Wa (w) 三 k& 和 任意 正 整 数 41N,4 隆 N, 都 有 

Sanp(w)=0 10 59> 
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定理 10. 2. 12 的 证 明 可 参见 文献 [4]。 
例 10.2.9 尽管 2 元 6 值 逻 辑 函 数 
(ziyzz) 一 2zi 十 3ze， zi EZLe rxs EZe 
的 Chrestenson 循环 谱 满 足 : 对 (rr)EZE, 当 WCoyrs) 王 1 时 ,就 有 Sorn (wi， 
zz) 一 0。 但 它 并 不 具有 1 阶 相关 免疫 性 。 
证 明 : 对 (wl ,twz)EEZC, 当 Ww ,ws) 二 1 时 ,车 wi 关 0 而 ws 二 0, 则 有 


Sp Cw ru) 一 志 3 pa 2zl+3zrz 一 mrl 一 雪 > 2 有 ze3zz 


z1 EZer2 EZ x1 EZ6 z2 EZe 


一 二 [1 十 刀 十 嫩 十 …… 十 ta] 了》) wn 


xz1 EZ 
1 1— (u’)s Fr 

三 过- 光 wl 
62 1 一 zs 2 
1 1 一 (xs)3 i 

二 十 xX un 一 0 
62 = > 


若 wi 二 0 而 ws 隆 0, 则 有 


~、 时 总 1 
Sup (zol ,zus ) Se 六 > > ; 2zl+3zz 一 wazz 一 二 cm > 2 zk2z1 
也 


ziEZsrzEZs 0 Ea xz1 EZe 

LE Fw 十 wt 十 … 十 ul] 3 zo 
6 xz1 EZe 
和 1 一 (zx2)5 wh 

2 | ”he 
6 一半 3 

ee 6 、2 
一 让 x1 i 2 已 G-w)zs 一 0 
rie 
但 是 ,由 于 
P{2Xi 二 3Xs 一 j} 一 二，j EZ 


卫 {(2X 二 3X, = 1,X, = 0} 


P{2Xs = 1,X: = 0}=0 本 P(2X 十 3Xs = 1} - P{X, 一 0) 


可 见 2Xi 十 3X。 和 Xs 不 相互 独立 , 故 FCzi,zs) 一 2zi 十 3zzyzEZeszEZe 是 
不 具有 1 阶 相关 免疫 性 的 。 事 实 上 ,此 时 
3 
Son (4,0) = DwP{2(2X1 + 3X2) = 4X1 +j}=1 


即 函数 f(xi,zxs) 二 2x1 十 3x2 A EZe:xs EZ 确实 不 满足 定理 10. 2. 12 中 的 充分 
条 件 。 
3. Chrestenson 谱 在 扩散 特性 研究 中 的 应 用 
定义 10.2.6 车 nn 元 m 值 逻 辑 函数 FCz),zEZ2 的 自 相 关 函 数 rj(。) 满 足 
ri(s) =0, s EZn, WaH(s)=1 (10. 60) 
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则 称 f(x) ,xzEZ% 是 满足 严格 雪 骨 准则 的 。 
定义 10.2.7 设 f(zr),xzEZr 是 一 个 n 元 m 值 逻 辑 函 数 。 
(1) 对 于 sEZ, 若 f(z) 的 自 相 关 函 数 r(。…) 满 足 xj(s) 一 0, 则 称 f(x),xEZ% 
关于 s EZ 是 满足 扩散 准则 的 。 
(2) 车 对 所 有 的 s€EZ, 当 1 三 Wn(s) 三 k& 时 ,f(z) 的 自 相关 卫 数 rj(。) 满 足 
ri(s)=0 (10, 61 
则 称 f(z) ,xzE Zs 是 满足 & 次 扩散 准则 的 。 
例 10.2.10 设 4 值 逻辑 函数 FCziyzs) 一 zz 十 1, (zz)EZ 由 例 10.2.8 
的 求解 过 程 可 知 f(z ,zz ) 满 足 2 次 扩散 准则 。 
根据 mm 值 逻 辑 函 数 的 自 相 关 国 数 和 Chrestenson 谱 的 关系 容易 得 到 满足 严格 雪 
崩 准 则 和 扩散 准则 的 mx 值 逻 辑 函 数 的 Chrestenson 谱 的 以 下 性 质 。 
定理 10.2.13 m 值 逻 辑 函 数 /(x) ,rE Zr 满足 严格 雪崩 准则 的 充分 必要 条 件 
是 对 所 有 的 1 三 j 二 nn, 只 要 s; € Zn\{0}) ,就 有 
2) 1Sw (Cw) ?su =0 (10. 62) 
we 
再 由 mm 值 逻 辑 函 数 满 足 严格 雪崩 准则 的 定义 即 得 以 下 定理 。 
定理 10.2.14 wm 值 逻 辑 隐 数 f(x),rEZ" 关于 s EZ 满足 扩散 准则 的 充分 必 
要 条 件 是 
BD) | Sun(w) | eu 一 0 (10. 63) 
ez 


而 冯 值 逻辑 函数 FCz),zEZx 满足 & 次 扩散 准则 的 充分 必要 条 件 是 对 的 所 有 
s€EZ, 当 1 三 WH(s) 三 k 时 ,都 有 


2 So lu:=0 (10. 64) 
weEn 


10.3 ”有限 域 上 的 频谱 方法 与 技术 


10.3.1 有 限 域 上 的 离散 傅 里 时 变换 技术 


设 < 是 有 限 域 下 , 的 某 一 扩 域 F?y 中 的 一 个 NN 阶 元 素 。 一 个 F, 上 的 序列 cx 一 
aoaiwan-1( 也 称 为 “时 域 "(time-domain) 序 列 ) 的 离散 健 里 叶 变 换 ( 简 记 为 DFT) , 定 
义 为 一 个 F” 上 的 序列 A 二 AoAi…An-_1( 也 称 为 “ 频 域 "(frequency-domain) 序 列 )， 
其 中 


Ai= Daa’, i=0,1,.…,N—1 (10. 65) 
| 
道 DFT 为 
二 和 一 1 
= A 了 一 0,1,…:,N 一 1 (10. 66) 


其 中 NN“ 一 N mod p:p 是 下 , 的 特征 。 
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令 
和 1 1 …- 时 
这 三 | 1 a ax2 … aN 1 | 
| i a 区 By | 
则 4AY 可 表示 为 
AN 一 aNF 《10. 67) 
则 ax 可 表示 为 
oN = 过 ANF! (10. 68) 
这 里 
「 | 1 1 1 
二 二 六 a™ ne 人 
1 ND a—2N-D ss, DN 
如 果 对 所 有 的 i, 按 式 (10. 65) 来 定义 A;, 则 有 
N—1 N—1 


于 是 ,V” 是 周期 为 N 的 序列 。 如 果 对 所 有 的 i, 按 式 (10. 66) 来 定义 a;, 则 同样 可 以 
证 明 o 是 周期 为 N 的 序列 。 因 此 ,可 将 ax 和 A* 看 成 是 由 式 (10. 66) 和 式 (10. 65) 
分 别 定 义 的 周期 序列 c” 和 A= 的 第 一 个 周期 段 。 

下 面 就 来 介绍 一 个 很 重要 的 定理 一 一 Blahut 定理 。 在 叙述 该 定理 之 前 . 先 介绍 
两 个 引 理 ,这 两 个 引 理 刻画 了 序列 的 线性 复杂 度 和 和 矩阵 的 秩 之 间 的 内 在 联系 。 

引 理 10.3.1 设 a" 二 aoal*…as-1 是 上 的 一 个 nn 长 序列 , 则 a" 的 线性 复杂 度 
等 于 下 面 矩 阵 的 最 小 秩 : 


[® a as i Pe 
al dz ds ‘** ds?2 anl 
Gr = | az2 ds da ee dn x x 《10. 69) 
BB 关 % 关 x 关 | 


这 里 * 为 F。 中 任意 元 素 , 且 最 小 值 是 对 这 些 任意 元 素 赋 所 有 可 能 值 而 求 的 。 

证 明 : 约定 Gw 最 上 面 的 行为 第 0 行 。 如 果 工 Co) 一 工 , 则 由 线性 复杂 度 的 定义 
知 , 对 于 工 志 ;过 ”一 1, 只 要 适当 地 选择 这 些 任意 元 素 .G。 的 第 ; 行 可 表示 成 前 面 工 行 
的 线性 组 合 。 因 此 ,Gu 的 最 小 秩 不 超过 二 。 但 又 由 线性 复杂 度 的 定义 知 , 是 产生 
a” 的 最 短 LFSR 的 级 数 , 因 而 工 是 第 L 行 的 前 一 L 个 分 量 能 够 表示 成 前 面 行 的 对 
应 分 量 线 性 组 合 的 最 小 整数 。 这 说 明 前 工行 线性 独立 ,从 而 Gu 的 最 小 秩 不 小 于 工 ， 
故 Ga 的 最 小 秩 等 于 工 。 

引 理 10.3.2 设 a” 一 aoai…an-1… 是 上 的 一 个 周期 为 N 的 序列 , 则 a” 的 
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线性 复杂 度 等 于 下 面 循环 矩阵 的 秩 : 


[ Co al Lei am | 
M(a™) 三 | 0 | (10. 70) 
AN-1 ao RS Bu 


引 理 10. 3. 2 的 证 明 类 似 于 引 理 10. 3. 1 的 证 明 , 故 略 。 

定理 10.3.1(Blahut 定理 ) 周期 为 N 的 半 无 限 “ 时 域 "序列 a™ 的 线性 复杂 度 等 
于 有 限 长 “ 频 域 "序列 AN 的 汉 明 重量 ,其 中 ,AY 是 av 的 DFT,L(a™) 一 WH(AN)。 
类 似 地 ,周期 为 N 的 半 无 限 序列 A 的 线性 复杂 度 等 于 有 限 长 序列 aX 的 汉 明 重量 ， 
其 中 ,eax 是 AN 的 DFT,LCA”) 一 WaCoN) 。 

证 明 : 由 引 理 10. 3.1 知 ,o” 的 线性 复杂 度 等 于 下 面 循环 矩阵 的 秩 , 即 


| ao al ?aN-l 
各 二 二 
Ma) 一 | 
aN-1 ao "aN-z 
M(a™) 可 写成 
M(a™) 一 NFDAF™ 
其 中 
Ao 
Ai 
Da = 
AN-i 


因为 正和 下 一: 互 为 着 矩阵 , 故 秩 Ma” ) 一 秩 Ds 二 Wa (AN),WH(A”) 表 示 A* 的 
汉 明 重量 。 类 似 地 ,可 证 明 ,LCe” ) 一 WanCaox)。 

Blahut 定理 表明 ,一 个 周期 半 无 限 序列 的 线性 复杂 度 等 于 它 的 一 个 周期 的 DFT 
的 汉 明 重量 。Blahut 定理 在 编码 和 密码 的 研究 中 起 着 重要 的 作用 。 

值得 注意 的 是 ,在 有 限 域 上 ,不 是 对 所 有 的 N 存在 离散 傅 里 叶 变 换 , 因 为 不 是 每 
一 个 数 都 可 以 作为 元 素 的 阶 。 但 是 .对 大 多 数 的 目的 来 说 ,这 已 经 足够 了 。 如 果 m 
是 g”" 一 1 能 够 被 N 除 尽 的 最 小 整数 ,那么 在 F 上 就 有 长 为 N 的 有 限 域 离散 傅 里 叶 
变换 ,其 分 量 在 Fw 上 。 不 幸 的 是 .对 于 某 些 值 .虽然 变换 是 存在 的 ,但 是 , 它 存 在 于 
很 大 的 扩 域 中 ,因而 不 一 定 实用 。 

例 10.3.1 设 a™” 二 0111010… 是 ,上 的 一 个 周期 为 7 的 序列 ,a 是 域 下 ss 的 一 
个 本 原 元 , 即 a 的 阶 为 7。a’ 二 0111010… 的 DFT 为 A 一 0aa?0a100…, 由 Blahut 定 
理 知 ,L(a™) 二 Wa(A') 二 3。 反 之 ,L(A™) 一 WH(a’) 二 4。 


10.3.2 有 限 域 上 的 其 他 频谱 技术 
类 似 于 布尔 函数 和 m 值 逻 辑 函 数 . 下 面 来 讨论 有 限 域 上 的 逻辑 函数 的 两 种 谱 。 
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设 g 二 p”", 其 中 zp 为 素数 。 有 限 域 F 为 素 域 下 ,的 扩 域 ,由 有 限 域 的 知识 可 知 ， 
F, 是 素 域 下 , 的 单 扩张 , 即 存在 素 域 fF, 上 的 某 个 代数 次 数 为 m 的 极 小 多 项 式 u(x) 
的 根 a, 使 得 F, 二 Fi (a), 且 存在 唯一 一 个 含 p" 个 元 素 的 有 限 域 , 易 知 1,a,a?,…， 
a”! 是 F, 在 Ff, 上 的 一 组 基 。 记 Fi = 一 FA\{0}, 则 F? 是 一 个 g 一 1 阶 的 乘法 循环 群 ， 
可 取 上 述 a 为 Fi 的 生成 元 。 记 F 为 n 个 下 ,的 笛 卡 儿 积 , 又 记 WaH(w) 为 w 的 不 为 
零 的 分 量 的 个 数 , 即 zw 的 汉 明 重量 ,p 次 本 原单 位 根 4 二 eF ,w= (tw stws ss,) EE 
Feszx= (rT 0" 9 Ta) EE Pow ® T= rit Wrst Tt Wars 且 运 算 均 在 有 限 域 
Fs 上 进行， 

称 Fy 一 F, 的 任 一 映射 f(z) 为 FI 上 的 nn 元 q 值 逻辑 函数 ,简称 g 值 逻 辑 
函数 。 

定义 10.3.1 设 f(zx),rzEF’ 为 n 元 gq 值 逻辑 函数 , 则 称 


S/W = LL Df rn, w EP (10.71) 
EFs 
和 
Sp Cw) = LT Du md, weEF, (C10 2) 
EF 


分 别 为 /(x) 的 Chrestenson 线性 谱 和 Chrestenson 循环 谱 。 其 中 tr(。) 表 示 迹 天 
数 , 即 对 任意 的 BEF,,B 在 ,上 的 迹 函 数 定 义 为 
tr(B) 一 B 十 肛 十 十 Be 
由 迹 函 数 的 性 质 易 证 ,{u™"™*”}。er 是 一 个 正 交 组 。 这 样 可 得 以 下 反 演 公式 : 
定理 10.3.2 设 /(zx),zEF? 为 n 元 gq 值 逻 辑 函 数 , 则 


trCFCz)) = >) Siu 7, rEF 《105789 
we 
Uf) 一 DD) Sp wu”, rEPF: (10. 74) 
weFs 


证 明 : 由 有 限 域 上 Chrestenson 谱 易 得 。 
下 面 定理 给 出 了 两 种 谱 之 间 的 关系 。 
定理 10.3.3 设 /(z).r€EF 为 n 元 gq 值 逻 辑 函 数 . 则 


Si(um) = 1 DB tru So Cw) (10.75) 
ik€EF, 

Sp (am) 一 DS ® /Dru (10. 76) 
AE Fo EP 


证 明 : 记 A;(w) 一 DO A. 二 i,w”。X 二 )} ,其 中 w* 表示 ww 的 加 法 
jEF, 
道 元 。 易 知 


Sw (w) = DAi(w) = 


了 


Sj(w) 一 >)tr(Gi)Ai(zo) 


iEF, 


0 w 基 0 
1 w= 二 0 
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Sp (mw) = Dur® Ai(w) 


EE 


2) tO Sun w= 2 rd | 


Ze Sun Cw) + Seo (ww) ] 


ikEF, iEF, kEF, Mo) 
一 >) tr(2) p33 Wy > Jan Ai (ro) 十 9 Ws (vw) 
弃 志 kEF\O) de 
= Du DA BD) we + PS AS (rw) 
er jE€EF, REF\O) 
= Pt) DI ASCw) Pur 
ziE Fo JEFo kEF, 
— Dd) DA + FHS Cw) 
iEF, jEF, 
ss q Ptr A Cw) 
iE Fo 
= gSy(w) 
DS DS= Pu Str A Cw) 
AE Fo 4AE Fo iE Fo 
一 te Da Aew) 
iE Fo kE Fo 
一 tr(iDDu ™®? So (w) 
iE Fo 
而 包 trGi)uree 天 0, 故 结论 成 立 。 
iE Fo 
在 此 基础 上 有 以 下 定理 。 
定理 10.3.4 设 F(z),zEFy 为 n 元 g 值 迎 辑 清 数 , 则 
Sj(w) = LF So Ca) 十 3 二 Soo Cw) (10.77) 
大 一 1 
一] 所 
Sip (w) = 2) Sanwau™ (10. 78) 
k=0 
证 明 : 略 。 
下 面 给 出 一 个 应 用 。 
定义 10.3.2 设 f(z),zEFr 为 Fs 上 的 nn 元 g 值 逻 辑 函 数 ,Xi ,XX,,，…,X, 为 
某 概 率 空 间 (Q,F .P) 上 的 个 相互 独立 且 都 具有 均匀 分 布 的 随机 变量 。 若 对 任意 


的 1 二 二 过 … 过 i 过 n,k 志 nn 为 取 定 的 正 整数 ,g 值 随机 变量 f (Xi ,XX ,… 


， 义 ,) 与 上 维 


g 值 随机 变量 (X; ,Xi ,…,X; ) 都 相互 独立 , 则 称 n 元 gq 值 逻辑 函数 f(x) 是 阶 相 


关 人 免疫 的 。 又 若 P{ (CO 一 小 一 二 ,<E F。, 则 称 (x) 为 平衡 的 。 
关 人 免疫 的 且 平 衡 的 ， 


定理 10.3.5 


车 f(x) 是 k 阶 相 


则 称 f(x) 是 & 阶 弹性 的 。 


设 f(z),rEF 为 Fs 上 的 n 元 gq 值 逻 辑 函 数 . 则 f(z) 是 & 阶 相 
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关 人 免疫 的 充 要 条 件 是 对 任意 的 aEF\{0} 及 wE FF: 1 三 Wn (w) 三 k, 有 


Sam lw)=0 (10.79) 
例 10.3.2 取 开 ,一 忆 一 (0,1,aa2} ,其 中 心 十 c 十 1 一 0。 令 
CCziyTz，…Zn) 一 1。 工 
则 
So bw) 一直 了 一 Doe 一 让 了 Dn 
zxEF zxEF 
1 w= 
f wu 


而 且 对 任意 的 a€E F,\{0}, 有 
Sep (w) 一 去 > (一 1)™~® rw) 一 1 > 1) ez) 


加 


zrEF zxEF 
1 w= au 
0 wau 


我 们 知道 ,在 有 限 域 上 车 zy 二 0 且 y 关 0; 则 z==0。 从 而 车 Wh (0) 二 1, 则 Wh Caw) 二 
十 即 fz ,Xo，… ,Xx,) 是 1 一 1 阶 相关 免疫 逻辑 函数 。 其 中 1 二 Wn(u)。 由 计算 过 程 可 
知 ,g 可 以 是 任意 的 。 


10.4 注 记 
本 章 重 点 介绍 了 一 些 在 信息 安全 研究 中 常用 的 频谱 方法 与 技术 ,同时 用 一 些 例 


子 进 行 了 说 明 。 其 目的 是 为 了 满足 信息 安全 领域 中 的 基本 应 用 而 选材 的 , 感 兴趣 的 
读者 可 参阅 文献 [2] 一 [5j 中 的 相关 章节 及 其 引用 的 参考 文献 。 
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第 11 章 纠 错 码 方法 与 技术 


纠 错 码 为 避免 数据 传输 过 程 中 发 生 错 误 提 供 了 一 种 不 仅 能 检 错 而 且 能 纠 错 的 数 
学 方法 。 现 代 纠 错 码 的 研究 始 于 Claude Shannon 发 表 于 1948 年 的 著名 论文 “通信 
中 的 数学 理论 ”。Shannon 当时 工作 于 贝尔 实验 室 , 他 主要 研究 怎样 解决 电话 通信 中 
出 现 的 问题 ,尤其 是 怎样 纠正 数据 在 电话 线 中 传输 时 产生 的 错误 。 不 仅 如 此 ， 
Shannon 于 1949 年 还 发 表 了 著名 的 论文 “保密 通信 的 信息 理论 ”, 将 密码 学 的 研究 纳 
入 了 科学 的 轨道 ,是 对 称 密码 学 的 奠基 性 文献 。 由 此 也 不 难 推出 , 纠 错 码 与 密码 学 有 
着 必然 的 联系 。 事 实 也 证 明 的 确 如 此 。 本 章 的 重点 是 介绍 一 些 在 信息 安全 研究 中 常 
用 的 纠 错 码 方法 与 技术 ,包括 纠 错 码 的 基本 概念 、 线 性 码 和 循环 码 的 基本 性 质 、 一 些 
好 码 的 结构 特征 、 一 些 典型 的 译 码 方法 及 典型 应 用 实例 。 


11.1 基本 概念 


本 节 首 先 来 定义 纠 错 码 中 需要 用 到 的 一 些 基 本 概念 。 
11.1.1 和 码 的 定义 和 示例 


定义 11.1.1 设 A 是 一 个 有 限 集合 ,n 是 一 个 正 整 数 ,一 个 长 为 n 的 码 C 是 
A" 一 {((alyaz an)|aiEA,i 一 1,2,…,n} 的 一 个 子 集合 。 此 时 , 则 称 A" 为 码 空 间 ， 
A4" 中 的 元 素 称 为 字 ,C 中 的 元 素 称 为 码 字 。 
特别 地 , 当 A 二 {10,1} 时 , 则 称 C 是 一 个 长 为 n 的 二 元 码 。 
假设 Alice 想 要 发 送 消息 给 Bob, 则 将 会 用 定义 11. 1.1 中 所 定义 的 码 字 构 成 的 
串 。 每 个 码 字 代表 一 部 分 信息 ,而 这 个 信息 并 不 一 定 是 一 个 英文 单词 。 例 如 ,一 个 码 
字 可 能 代表 英文 中 的 一 个 字母 ,也 可 能 代表 A” (mm 二 nn) 中 的 一 个 元 素 。 码 空间 A" 是 
在 考虑 出 错 的 情况 下 Bob 可 能 收 到 的 所 有 字 的 集合 , 码 C 是 Alice 可 能 发 送 的 所 有 
字 的 集合 。 
例 11.1.1 设 A={0,1},n==3, 令 C=A", 则 有 
A = {0005001,010,011,100,10L;1105111} = 
当 C 一 A" 时 ,Bob 不 能 用 这 个 编码 方案 检 错 ,这 是 因为 所 有 可 能 接收 到 的 字 均 
为 码 字 , 即 均 为 Alice 可 能 发 送 的 字 , 所 以 Bob 不 能 判断 是 否 有 错误 发 生 。 
例 11.1.2 设 A={0,1},n 二 4, 则 有 
A” ={0000,0001.,0010,0011.0100,0101,0110,0111 
1000,1001,1010,1011,1100.1101,1110,1111} 


少 


C= (0000.0011,0101,.0110,1001.1010,1100,.1111} 
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例 11.1.2 中 ,C 关 A", 即 Bob 可 能 收 到 的 字 和 集合 大 于 Alice 可 能 发 送 的 字 集 合 ， 
所 以 Bob 可 能 接收 到 一 个 Alice 不 可 能 发 送 的 字 。 例 如 .Bob 可 能 接收 到 0001, 由 于 
它 不 是 C 中 的 元 素 ,所 以 他 知道 它 不 是 Alice 想 要 发 送 给 他 的 ,必然 有 一 个 错误 
发 生 。 

定义 11.1.2 设 n 是 一 个 正 整数 ,A 二 {0,1}, 则 A" 中 有 2" 个 元 素 。 定 义 一 个 
长 为 的 二 元 重复 码 C 是 只 包含 两 个 元 素 的 集合 , 即 只 包含 全 0 字符 串 和 全 1 字 
符 串 。 

例 11.1.3 设 A={0,1},n==5, 则 有 

A" 一 {00000,00001.00010,00011.00100,00101,.00110,00111， 
01000,01001,01010,01011,01100,01101,01110,01111， 
10000,10001,10010,10011,10100,10101,10110,10111， 
11000511001;11010;110117111005 L111017y11110; L1111} 

C= {00000,11111} 

例 11.1.3 中 的 码 能 够 纠正 2 个 错 。Bob 只 需要 在 5 比特 中 遵循 少数 服从 多 数 
的 原则 就 可 以 了 (这 个 原则 也 称 择 多 原则 )。 例 如 ,假设 Alice 发 送 给 Bob 的 字符 串 
为 11111, 而 他 接收 到 的 为 01011。 他 就 会 发 现 出 了 错 , 因 为 Alice 只 可 能 发 送 2 个 
字 : 00000、11111。Bob 注意 到 01011 中 有 3 个 1,2 个 0,Alice 很 有 可 能 想 要 发 送 的 
是 11111。 只 要 发 生 的 错误 不 超过 2 个 ,这 种 纠 错 方法 都 会 奏效 。 这 种 码 的 不 足 之 
处 在 于 它 极 大 地 减少 了 Alice 可 能 发 送 的 信息 量 。 巾 于 只 有 两 个 码 字 ,Alice 只 能 对 
2 种 信息 片段 进行 编码 。 在 Alice 和 Bob 需要 纠 错 能 力 较 强 而 需要 发 送 的 信息 量 不 
大 时 ,他 们 可 以 采用 这 种 码 。 

定义 11.1.3 设 n 是 一 个 正 整 数 ,A 二 {10,1}。 定 义 一 个 长 为 n 的 二 元 奇偶 校 验 
码 C 是 A” 中 包含 偶数 个 1 的 字 构 成 的 集合 。 

例 11.1.4 设 A={0,1),n 二 5, 则 有 

A”" 一 (00000,00001.00010,00011.00100.00101,.00110.00111， 
01000,01001.,01010,01011,01100,01101,01110,01111， 
10000,10001,10010.10011.10100.10101.10110,10111， 
ii06605110olsiiotloslioiilsiiloosTilotvalllos5aaiiy 

C={00000,00011,00101,00110,01001.,01010,01100,01111， 
10001,10010,10100,10111,11000,11011,11101,11110} 

这 个 奇偶 校 验 码 能 够 检测 1 位 错误 而 不 能 纠正 错误 。 这 个 码 的 优点 在 于 Alice 
能 够 对 很 多 的 信息 进行 编码 。 它 的 不 足 之 处 在 于 它 不 能 纠 错 。 


11.1.2 Hamming 距离 和 码 的 极 小 距离 
定义 11.1.4 设 x,yEA", 定 义 x,y 之 间 的 Hamming 距离 ds (x,y) 为 x.y 之 
间 不 同 的 比特 位 的 个 数 。 特 别 地 , 当 y 一 0 时 , 称 ds (x,0) 为 x 的 Hamming 重量 或 


简称 为 重量 , 简 记 为 Wh (x)。 
例 11.1.5 设 n=6,A 二 {0,1},x 二 (110100),y 二 (101010), 则 dn (x,y) 二 4。 


6 
证 信息 安全 中 的 数学 方法 与 技术 


这 是 因为 x,y 在 第 二 三、 四 \ 五 位 共 4 位 上 不 同 。 
例 11.1.6 设 n=55A= 二 {0,1;,2,3;4};X 二 (34201);y 一 (30210); 则 da (x;3) 二 
3。 这 是 因为 x、y 在 第 二 、 四 、 五 位 共 3 位 上 不 同 。 
关于 Hamming 距离 ,有 以 下 事实 。 
定理 11.1.1 对 任意 的 x,y.zE A”",Hamming 距离 具有 通常 距离 函数 所 具有 
的 一 些 特性 : 
(1)〈 非 负 性 )dn (x,y) 宇 0; 
(2)( 自 反 性 )dn (x,y) 二 0 当 且 仅 当 x 一 y; 
(3)〔 对 称 性 )dn (x,y) 二 dH (y .x); 
(4) (三 角 不 等 式 )dn (x,y) 夺 dn (x,z) 十 dn (z,y)。 
证 明 : 前 3 个 性 质 是 显然 的 ,这 里 只 证 第 四 个 性 质 。 设 
| 
一 (yy yz，……，yn) 
| 
显然 当 zi 天 yw%(G 一 1,2, 7) 时 ,一 定 有 zi 天 = 或 yi 天 =i。 
因此 ,由 Hamming 距离 的 定义 可 知 ,dn (x,y) 夺 dn (x,z) 二 dn (z,y)。 
定理 11.1.1 表明 ,dn 是 A" 中 的 一 个 度量 。 
寻找 “好 ” 码 是 纠 错 码 研 究 中 的 一 个 核心 问题 。 但 是 ,什么 是 “好 ” 码 呢 ? 首先 要 
有 足够 大 的 码 字 集合 ,这 样 就 可 以 对 很 多 的 信息 进行 编码 ,其 次 能 够 发 现 并 纠正 尽量 
多 的 错误 。 给 定 一 个 码 C, 怎 样 来 决定 它 能 检测 多 少 错 误 ? 能 纠正 多 少 错 误 ? 假设 
有 一 个 码 C, 它 的 所 有 码 字 之 间 的 Hamming 距离 至 少 为 3。 假设 Alice 向 Bob 发 送 
一 个 字 ,我 们 知道 这 其 中 至 多 有 一 个 错误 , 则 接收 到 的 字 r 与 本 来 要 发 送 的 码 字 x 之 
间 的 Hamming 距离 为 1 或 者 为 0。 有 没有 这 样 一 种 可 能 : 存在 另外 一 个 码 字 与 + 的 
距离 不 大 于 1? 假设 有 , 即 存在 yEC,y 关 x, 满 足 dn (r,y) 三 1。 由 三 角 不 等 式 , 有 
dn (x,y) 三 dn (x,r) 十 dn 《r,y) 夺 2。 所 以 .存在 两 个 码 字 ,它们 之 间 的 距离 小 于 3, 而 
这 与 之 前 关于 所 有 码 字 之 间 的 距离 不 小 于 3 的 假定 矛盾 。 这 说 明 x 是 与 r 唯一 最 近 
的 码 字 ,所 以 Bob 能 够 很 有 信心 地 把 = 译 码 为 x。 只 要 发 生 的 错误 不 超过 1,Bob 就 
能 够 正确 地 纠 错 。 注 意 到 关于 所 有 码 字 之 间 的 距离 不 小 于 3 的 假定 是 很 重要 的 ,把 
这 一 点 用 数学 的 语言 描述 ,有 下 面 的 定义 。 
定义 11.1.5 设 CSA" 是 一 个 码 。 定 义 该 码 的 极 小 距离 为 
en 
记 一 个 码 的 极 小 距离 为 a(C), 有 时 也 简 记 为 d。 
为 了 找到 一 个 码 的 极 小 距离 ,只 要 计算 所 有 码 字 之 间 的 Hamming 距离 即 可 ,得 
到 的 最 小 值 即 为 这 个 码 的 极 小 距离 。 
例 11.1.7 设 C 是 长 为 4 的 二 元 重复 码 , 则 有 C=={(0000),(1111)}, 则 C 的 极 
小 距离 为 4。 事实 上 .长 为 n 的 二 元 重复 码 的 极 小 距离 为 n。 
例 11.1.8 设 C 为 长 为 5 的 二 元 奇偶 校 验 码 , 可 以 直接 验证 C 的 极 小 距离 为 
2。 事 实 上 .长 为 n 的 二 元 奇偶 校 验 码 的 极 小 距离 为 2。 
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码 C 的 极 小 距离 可 用 来 度量 该 码 所 能 检测 和 纠正 错误 的 能 力 。 

首先 要 说 明 何 谓 一 个 码 所 能 检测 的 错误 的 数目 。 当 Bob 接收 到 Alice 发 送 过 来 
的 字 r, 他 检验 -是 不 是 C 中 的 元 素 。 如 果 是 ,他 认为 没有 错误 ,否则 ,他 认为 至 少 有 
一 个 错误 存在 于 Alice 的 发 送 过 程 中 。 如 果 无 论 何 时 发 生 不 多 于 e 个 的 错误 .无论 
Alice 发 送 的 码 字 如 何 ,Bob 都 能 够 准确 地 说 出 是 否 有 错误 发 生 , 就 说 码 C 能 检测 e 
个 错误 。 

其 次 ,要 说 明 何 谓 一 个 码 所 能 纠正 的 错误 数目 。 当 Bob 接收 到 一 个 码 字 ,他 把 
它 译 码 为 x, 使 得 daCxr:r) 足 够 小 。 如 果 无 论 何 时 发 生 不 多 于 e 个 的 错误 ,无论 Alice 
发 送 的 码 字 如 何 ,Bob 都 能 够 保证 准确 地 纠正 这 些 错误 。 要 记 住 的 是 Bob 能 准确 地 
把 接收 到 的 字 + 译 码 的 前 提 是 Alice 发 送 过 来 的 码 字 是 与 r 唯一 最 近 的 码 字 。 

现在 证 明 如 果 知 道 一 个 码 字 的 极 小 距离 ,就 能 知道 他 能 够 检测 多 少 错误 ,纠正 多 
少 错误 。 

定理 11.1.2 设 CSA" 是 一 个 极 小 距离 为 的 码 : 则 C 能 够 检测 & 一 1 个 
错误 。 

证 明 : 假设 Alice 发 送 给 Bob 的 码 字 为 cEC。 假 定 发 生 的 错误 不 多 于 d 一 1 个， 
将 证 明 Bob 能 够 正确 地 指出 是 否 有 错误 发 生 。 设 Bob 接收 到 的 字 为 rE A” ,假设 没 
有 错误 发 生 , 则 r= 二 cE C,. 所 以 Bob 正确 地 认为 没有 错误 发 生 ; 另 一 方面 ,假设 在 传输 
中 有 错误 发 生 ,而 且 错 误 的 个 数 不 多 于 4d 一 1, 则 1 三 dn (ec.r) 三 d 一 1。 由 于 码 C 的 极 
小 距离 为 4, 故 rFC。 所 以 Bob 正确 地 认为 有 错误 发 生 , 即 说 明 C 能够 检测 4 一 1 个 
错误 。 


定理 11.1.3 设 CCSA" 是 一 个 极 小 距离 为 4 的 码 , 则 C 能 够 纠正 < 一 | < 了 | 个 


ee 的 最 大 的 正 整数 。 
Paton oid Bob 的 码 字 为 cE C.,Bob 接收 到 的 字 为 rE A”"。 假 定 发 生 


的 错误 不 多 于 e 一 错误 。 注 意 到 dh (c,r) 三 e， 


想 要 说 明 c 为 C 中 与 7 最 近 的 码 字 。 反 之 假设 存在 yEC,y 天 c, 满 足 dnrCry) 近 e。 
由 三 角 不 等 式 , 则 有 


dakc:y) SZ dnler) + dar,y) 去 etem2—2|<F+ za 


所 以 ,存在 两 个 码 字 .它们 之 间 的 距离 小 于 & :而 这 与 之 前 关于 码 C 的 极 小 距离 为 d 
的 假定 矛盾 。 即 说 明了 C 能 够 纠正 。 个 错误 。 
例 11.1.9 长 为 n 的 二 元 重复 码 的 极 小 距离 为 n, 所 以 它 能 检测 ”一 1 个 错误 ， 


纠 下 “3 | 个 错误 

例 11.1.10 长 为 的 二 元 奇偶 校 验 码 的 极 小 距离 为 2, 所 以 它 只 能 检测 1 个 错 
误 :而 不 能 纠 错 。 

上 述 定理 表明 . 码 的 极 小 距离 越 大 , 它 的 检 错 能 力 和 纠 错 能 力也 就 相应 的 越 大 。 
因此 ,在 纠 错 码 中 总 是 要 求 码 具有 较 大 的 极 小 距离 。 
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定义 11.1.6 设 CSA" 是 一 个 码 .xEA”。 定 义 x 与 码 C 的 Hamming 距离 为 
dn = mindn(x,c) 
定义 该 码 的 覆盖 半径 为 


max min dun(x.c) 
xEA” eEC 


记 一 个 码 的 覆盖 半径 为 p(C) ,有 时 也 简 记 为 o。 
11.2 线性 码 和 循环 码 


11.2.1 线性 码 的 定义 和 基本 性 质 


令 A=F, 其 中 下 是 一 个 域 ,此 时 A"==F" 是 下 上 的 一 个 维 向 量 空间 。 

定义 11.2.1 设 下 是 一 个 含 g 个 元 素 的 有 限 域 。 令 CS 天 为 一 个 码 。 我 们 说 
一 个 码 C 是 线性 的 ,如 果 

(1) C 非 空 ; 

(2) 对 任意 的 x,yEC,x 十 yEC; 

(3) 对 每 一 个 aEF,; 每 一 个 xEC, 都 有 ax EC。 

换 句 话说 ,一 个 码 C 是 线性 的 当 且 仅 当 它 是 非 空 的 而 且 在 加 法 和 数 乘 下 封闭 。 
说 一 个 码 C 是 线性 的 ,也 就 是 说 C 是 向 量 空 间 F’ 的 一 个 子 空间 。 

容易 验证 ,前 面 介绍 的 二 元 重复 码 和 二 元 奇偶 校 验 码 都 是 域 F, 二 ， 上 的 线 

例 11.2.1 设 A=F;i.n 二 4,C 二 {1(1100),(1110)), 则 C 不 是 线性 码 , 因 为 它 在 
加 法 下 不 封闭 ,特别 地 ,(1100) 十 (1110) 二 (0010) CC。 

显然 ,如 果 C 是 线性 的 , 则 每 一 位 都 为 零 的 字 必 人 然 在 C 中 。 这 是 因为 , 若 令 0 表 
示 每 一 位 都 为 零 的 字 ,注意 到 0E FF,。 由 于 C 是 线性 的 , 则 C 必 非 空 , 所 以 存在 xE 
C。 但 是 0x 二 0, 所 以 每 一 位 都 为 零 的 字 在 C 中 。 同 理 可 证 ,车 xEC, 则 一 xE€C。 

邻 xE ,由 定义 11.1.6 可 知 ,x 的 Hamming 重量 或 重量 定义 为 dn (x,0), 即 
为 x 的 非 零 分 量 的 个 数 , 简 记 为 WH (x)。 

例 11.2.2 车 x==(1001110)EFi, 则 Wnu(Cx)=4。 若 x==(41060)EF5= 55, 则 
WH(x)=3。 

定义 11.2.2 设 CSFs 是 一 个 码 ,定义 码 C 的 极 小 重量 Was(CO) 为 

Wanin(C) = in (Wn (x)} 

所 以 ,为 了 求 码 C 的 极 小 重量 ,只 要 计算 C 中 非 零 码 字 的 重量 就 可 以 了 。 其 中 
得 到 的 最 小 值 就 是 码 C 的 极 小 重量 。 

例 11.2.3 长 为 n 的 二 元 重复 码 的 极 小 重量 为 n, 长 为 n 的 二 元 奇偶 校 验 码 的 
极 小 重量 为 2。 

定理 11.2.1 设 CSF* 是 一 个 线性 码 , 则 Wi,(C) 二 dwn(C)。 

证 明 : 设 xEC,x 了 0, 则 Wn (x) 二 dn (x,0)。 

因此 
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Wa(C) = min {Wun(x)} = min {dn (x;0)) 
EC,xA0 XEC,xA0 


之 min dn(x,y) = dmin(C) 


EC 天 了 
另 一 方面 ,如 果 x 天 ?为 C 中 的 两 个 元 素 , 则 有 
dn(x,y) = WnH(x—y) 
由 于 C 是 线性 的 ,所 以 x 一 yEC。 注 意 到 x 一 y 隆 0, 所 以 有 


dmn(C) = min dH(x,y) = min Wn(x—y) 
XryEC XA XryECxXFY 
之 min {WH (x)} = Wnmin(C) 
xXEC,xA0 


综 上 所 述 
dmn(C) = Wan (C) 
值得 注意 的 是 ,计算 一 个 码 的 极 小 重量 要 比 计算 它 的 极 小 距离 容易 ,所 以 这 个 定 
理 使 得 码 的 极 小 距离 的 计算 更 容易 。 这 一 点 是 十 分 有 用 的 ,因为 如 果 知 道 了 一 个 码 
的 极 小 距离 ,就 能 够 决定 它 能 够 检测 多 少 错误 ,纠正 多 少 错误 。 


11.2.2 生成 矩阵 


定理 11.2. 1 表明 ,线性 码 能 够 通过 计算 码 的 极 小 重量 来 计算 它 的 极 小 距离 。 不 
仅 如 此 ,线性 码 还 存在 一 个 简明 的 表示 一 一 生成 矩阵 表示 。 

定义 11.2.3 设 G 是 Fv, 上 的 一 个 &X7 阶 矩阵 , 令 x 为 G 的 第 ; 行 。 定 义 G 
的 行 空 间 ( 记 为 RS(G)) 为 

RS(G) = (ax 十 aaxz 十 … 十 ax luwuEFo SF。 
显然 ,RS(G) 是 由 G 的 行 向 量 张 成 的 子 空间 。 
人 0 光 证 
例 11.2.4 人 1 0 11, 则 
全 .亲生 了 

RS(G) = {(0000),(1001),.(0101).(0011).(1100),(1010),(0110),(C1111)》 
这 是 一 个 长 为 4 的 奇偶 校 验 码 。 

例 11.2.5 车 FF=Fs,G=(1 1 1 1 1), 则 

RS(G) = {(00000).,(11111)} 

这 是 一 个 长 为 5 的 二 元 重复 码 。 

车 C 导 Fs 是 一 个 线性 码 , 并 且 包 含 多 于 一 个 的 元 素 , 则 存在 fF, 上 的 一 个 kXn 
阶 矩 阵 G ,其 中 G 的 行 向 量 是 线性 无 关 的 (也 称 线性 独立 的 ), 且 C 一 RS(G)。 为 了 
找到 这 样 一 个 G, 只 要 找到 C 的 一 组 基 ,并 把 这 一 组 基 元 素 作为 抢 阵 G 的 行 向 量 。 

定义 11.2.4 设 CSF 是 一 个 线性 码 , 令 G 为 ,上 的 一 个 kXn 阶 和 矩阵 , 且 
G 的 行 向 量 是 线性 独立 的 :C 王 RSCG): 则 G 叫 做 C 的 生成 矩阵 ,C 叫做 参数 为 [n,k] 
的 线性 码 .k 叫做 C 的 维 数 。 若 C 一 10} .就 说 C 是 一 个 0 维 的 线性 码 。 

如 果 知 道 一 个 线性 码 的 生成 矩阵 ,就 能 够 通过 计算 这 个 矩阵 的 行 向 量 空 间 来 得 
到 C 的 所 有 元 素 。 也 即 是 说 ,生成 矩阵 提供 了 一 个 描述 线性 码 的 简明 方法 。 

值得 一 提 的 是 ,线性 码 的 生成 矩阵 并 不 是 唯一 的 ,每 一 个 线性 码 可 以 有 多 个 生成 
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和 抑 阵 。 例 如 ,如 果 把 任意 一 个 生成 矩阵 的 其 中 两 行 交换 就 可 得 到 另 一 个 矩阵 ,这 个 矩 
阵 也 是 生成 矩阵 。 由 线性 代数 的 知识 可 以 知道 ,一 个 向 量 空间 可 以 有 多 组 基 。 巾 于 
把 基 中 的 元 素 作 为 G 的 行 向 量 , 这 说 明 对 一 个 线性 码 而 言 ,可 以 找到 多 组 基 。 但 在 
纠 错 码 中 通常 选择 具有 特别 好 的 性 质 的 生成 矩阵 。 


11.2.3 ”对偶 码 和 校 验 矩 阵 


定义 11.2.5 设 CEFs 是 一 个 码 ,C 的 对 偶 码 ( 记 为 C+) 定义 为 
Ct 二 {xEF:|x*c== 0 对 任意 的 cE CS 

其 中 x。e 表示 域 下 上 的 点 积 。 当 x，c==0 时 ,也 称 x 和 c 正 交 。 

例 11.2.6 设 C 是 长 为 4 的 二 元 奇偶 校 验 码 。 所 以 ， 

C= {(0000),(0011),(0101),(1001),C0110),(1100),(1111)} 

为 了 找到 C+ 中 的 元 素 , 对 形 中 的 所 有 元 素 进 行 测试 ,看 哪些 元 素 和 C 中 所 有 
元 素 的 点 积 为 0。 这 里 的 所 有 运算 都 是 在 F。 中 进行 的 。 所 以 ,例如 , 当 测 试 (0111) 
是 否 在 C+ 中 时 ,注意 到 在 Fs 中 (0111)。(1111) 王 0 十 1 十 1 十 1 天 1。 由 于 存在 一 个 
码 字 (1111) 与 (0111) 的 点 积 不 为 0, 所 以 (0111) 不 在 C+ 中 。 用 这 种 方法 跑 遍 Fi 中 
的 所 有 元 素 , 可 以 验证 

C+= {(0000),(1111)} 

这 是 一 个 长 为 4 的 二 元 重复 码 。 当 计算 长 为 4 的 二 元 重复 码 的 对 偶 码 时 ,发 现 
其 正 是 长 为 4 的 二 元 奇偶 校 验 码 。 也 即 是 说 ,在 这 种 情况 下 ,CCL+)+ 上 一 C。 

值得 注意 的 是 .CCL+)+L 王 C 不 是 对 所 有 的 码 都 成 立 。 

例 11.2.7 设 C={(001),(010),(110)}, 则 Ct 二 {(000)})， 

(CL {(000Y, (001)5(C010)s C0L1YsC100%, CLO0TYXL1IO% KIL OC 

事实 上 ,对 任意 的 码 C, 无 论 其 是 否 为 线性 的 . 则 C+ 都 是 线性 的 。 可 由 定义 直接 
推出 。 

根据 对 偶 码 的 定义 ,确定 一 个 Fs 中 的 元 素 是 否 为 一 个 码 的 对 偶 码 中 的 元 素 , 需 
要 计算 这 个 元 素 与 这 个 码 的 所 有 元 素 的 点 积 。 现 在 证 明 一 个 定理 ,这 个 定理 给 出 一 
个 对 线性 码 而 言 较 容 易 的 方法 。 事 实 上 ,使 用 一 个 生成 矩阵 来 判断 一 个 元 素 是 否 在 
一 个 码 的 对 偶 码 中 。 用 xT 来 表示 xE F’ 的 转 置 。 

定理 11.2.2 设 CSF 是 一 个 线性 码 ,G 是 C 的 生成 矩阵 。 一 个 字 xE FF 在 
C+ 中 当 且 仅 当 Gx 一 0。 

证 明 : 令 ci,cs,…,ciEF 为 G 的 行 。 现 在 假设 xEC+, 则 x，…，c= 二 0 对 任意 的 
cEC,. 特 别 地 ,x，ci 一 0 对 所 有 的 i 一 1,2,…,k 成 立 , 这 说 明 GxT 一 0。 

反之 ,假设 GxT 一 0 对 某 一 xE 成立, 则 x，ci 二 0 对 所 有 的 i 一 1,2,…,k 成 
立 。 对 任意 的 cEC. 有 

c 一 alcl 十 azcz 十 … 十 akck 
对 某 些 a; EF 成立。 这 说 明 
cx 一 ac。x) 十 az(cz。x) 十 … 十 asCcre。x) 一 0 


所 以 ,有 xE C+ ,命题 得 证 。 
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定理 11.2.3 若 CSF; 是 一 个 参数 为 [n,k&j 的 线性 码 , 则 C+ 是 参数 为 [n,n 一 k] 
的 线性 码 ,并 且 (C+)+ 上 一 C。 

证 明 :C+ 是 一 个 线性 码 这 一 事实 可 由 定义 直接 推出 。 令 G 是 C 的 一 个 生成 矩 
阵 , 则 G 是 一 个 秩 为 & 的 & 久 交 阶 矩阵 。 由 定理 11.2.2 可 知 , 码 C 的 对 偶 码 的 维 数 
等 于 G 的 补 空间 {xE 1Gx" 二 0} 的 维 数 。 但 由 线性 代数 知识 可 知 ,一 个 矩阵 与 它 的 
补 空间 的 维 数 之 和 等 于 nn, 所 以 G 的 补 空 间 的 维 数 等 于 nn 一 k&, 所 以 ,Ct 是 参数 为 
[n,n 一 kj 的 线性 码 。 同 理 可 证 , (C+)+ 的 维 数 为 &k。 容 易 证 明 , 对 任意 的 码 C, 都 有 
CS(CCL+)L。 所 以 ,在 这 种 情况 下 ,有 一 个 维 数 为 & 的 子 空间 包含 在 另外 一 个 维 数 为 k 
的 子 空 间 中 ,因此 ,这 两 个 子 空 间 相 等 , 即 (CL+)-+ 上 一 C。 

事实 证 明 , 上 面 的 定理 是 很 有 用 的 。 考 虑 一 个 线性 码 C, 由 于 知道 C+ 是 一 个 线 
性 码 , 它 必然 有 一 个 生成 矩阵 ,就 把 这 个 矩阵 称 为 H。 由 定理 11. 2. 2 可 知 ,x€ 
(Ct)+ 当 且 仅 当 Hx7= 二 0, 但 是 由 于 知道 (C+)+ = 二 C, 这 也 就 是 说 ,xEC 当 且 仅 当 
HxT 一 0。 换 名 话说 ,矩阵 H 使 得 我 们 能 够 检验 F; 中 的 元 素 是 否 在 码 中 。 用 数学 的 
语言 , 即 为 

C= {x€F:|Hx"=0)} 
因此 ,有 下 面 的 定义 。 

定义 11.2.6 设 CSF 是 一 个 线性 码 ,CL+ 的 一 个 生成 矩阵 叫做 C 的 一 个 校 验 

现在 通过 校 验 和 矩阵 定义 一 类 著名 的 码 一 -Hamming 码 。 二 元 和 非 二 元 
Hamming 码 都 存在 ,这 里 只 介绍 二 元 Hamming 码 。 

定义 11.2.7 设 H 是 一 个 下 ,上 的 mxXx(2" 一 1) 阶 和 矩 阵 , 其 列 由 下 , 上 的 所 有 
2”" 一 1 个 非 零 m 维 列 向 量 组 成 ,以 H 为 校 验 和 矩阵 的 二 元 Hamming 码 定义 为 

C= {x € FF? | HxT = 0} 

显然 ,上 述 定义 的 二 元 Hamming 码 是 一 个 参数 为 [2” 一 1,2”" 一 1 一 mj 的 线性 码 。 
事实 上 ,可 以 证 明 . 这 类 码 的 极 小 距离 4 二 3。 因 为 H 的 列 向 量 非 零 且 任 何 两 列 都 不 
同 ,所 以 重量 为 1 和 2 的 字 xE F271! 不 能 使 Hx" 二 0, 因此 这 些 字 都 不 是 码 字 。 但 存 
在 重量 为 3 的 字 xE FY? -1! 使 得 Hx 二 0, 所 以 由 定理 11.2.1 可 知 ,d 二 3。 

例 11.2.8 参数 为 [7,4] 的 二 元 Hamming 码 的 校 验 矩 阵 为 

让 下: 让 商 而 
H= | 证 和 | 
0 1 1 0 1 

设 x 一 (zi,zsyzayziyzsyzeyz7) 是 下? 中 的 一 个 字 , 则 由 定义 11. 2.7 可 知 ,x 在 

C 中 当 且 仅 当 再 xz 一 0。 换 句 话说 ,xEC 当 且 仅 当 下 面 3 个 式 子 成 立 : 
(1,1,1,0,1,0,0) 。 (Zi ,XT2 ,TXT3 >T4 Ts T6977) 一 05 
《1,1,0,1,0,1,0) 。 (Zi1 X22» Ts T4393T5 T6927) = 05 


(0,1,1,;1,0,0,1) 。 (Zi >X2s» X35T4 T5633T6 T7717) = 0。 


其 中 所 有 的 运算 都 是 模 2 运算 。 但 是 .上 面 的 等 式 成 立 当 且 仅 当 
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Xs 二 TI1 十 Xz 十 Xs 
Te 二 TTTX2 TT 
Ly = 


所 以 ,车 xEC 当 且 仅 当 它 具 有 这 样 的 形式 : 
ee 
但 是 可 以 把 它 写 为 
Zi(1000110) 十 zz(C0100111) 十 zs(0010101) 十 Zi(C0001011) 
所 以 如 果 令 


人 

0 | 
G= 

1 

00010 1 1 


则 C 王 RSCC)。 容 易 验证 G 的 行 是 线性 独立 的 ,所 以 G 是 C 的 一 个 生成 矩阵 。 
11.2.4 Singleton 界 和 MDS 码 


下 面 的 定理 揭示 了 线性 码 的 校 验 矩阵 与 其 极 小 重量 亦 即 极 小 距离 之 间 的 关系 。 

定理 11.2.4 设 CSrF 是 一 个 参数 为 [n,kj] 的 线性 码 , 令 kxEC,Wan(Cux) 一 im， 
C 的 校 验 矩 阵 为 H , 则 H 中 有 wm 列 存 在 一 个 线性 相关 关系 。 反 之 ,对 于 H 的 m 列 中 
任何 一 个 线性 相关 关系 ,都 对 应 一 个 C 中 重量 不 大 于 mm 的 码 字 。 

证 明 : 因为 u€EC.,H 是 C 的 校 验 矩 阵 , 所 以 Hu7 二 0, 又 WH(w) 二 m, 去 掉 w 的 零 
分 量 , 这 正 是 H 的 m 列 的 一 个 线性 相关 关系 。 因 此 ,H 中 有 wm 列 存在 一 个 线性 相关 
关系 。 反 之 ,如 果 H 的 mr 列 有 一 个 线性 相关 关系 , 则 存在 mm 个 不 全 为 零 的 系数 ,使 
得 这 m 列 的 线性 组 合 等 于 零 , 现 在 定义 一 个 一 维 行 向 量 wu: 与 这 mx 个 列 对 应 的 分 量 
就 取 对 应 的 这 个 系数 ,其 余 分 量 取 零 。 显 然 .WH (ww) 三 mx Hu 二 0, 所 以 .u 是 一 个 
C 中 重量 不 大 于 mx 的 码 字 。 

推论 11.2.1 设 CSF 是 一 个 线性 码 ,C 的 校 验 矩 阵 为 百 , 则 C 的 极 小 重量 亦 
即 极 小 距离 为 d 当 且 仅 当 4 二 max{m|H 的 任意 mx 一 1 列 都 线性 无 关 }。 

证 明 : 由 定理 11. 2.4 可 得 。 

定理 11.2.5(Singleton 界 ) 设 CSF 是 一 个 参数 为 [n.kj] 的 线性 码 , 则 C 的 极 
小 距离 d 三 n 一 k 十 1。 

证 明 : 设 参数 为 [n.kj 的 线性 码 C 的 校 验 矩阵 为 HH, 则 H 是 一 个 秩 为 n 一 & 的 
(nn 一 k) Xn 矩阵, 因此,H 中 的 任意 nn 一 k 十 1 列 都 线性 相关 。 由 定理 11. 2.4 可 知 ， 
d 夺 n 一 上 十 1。 

定理 11. 2.5 表明 ,一 个 线性 码 的 极 小 距离 不 会 “ 太 大 ” ,无论 怎样 努力 ,都 不 能 够 
构造 出 一 个 参数 为 [n.kj 的 线性 码 ,使 得 它 的 极 小 距离 大 于 nn 一 & 十 1。 由 此 可 见 , 最 
好 的 期 望 就 是 构造 使 得 极 小 距离 等 于 ”一 A 十 1 的 线性 码 , 于 是 引出 下 面 的 定义 。 

定义 11.2.8 一 个 参数 为 [n.&kj 的 线性 码 C, 若 满足 dm(CC) 一 2 一 A 十 1, 则 称 该 
码 为 极 大 距离 可 分 码 , 简 称 为 MDS 码 。 
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事实 证 明 ,MDS 码 是 存在 的 ,11. 3. 2 小 节 将 要 介绍 的 广义 Reed-Solomon 码 就 
是 MDS 码 。 


11.2.5 循环 码 


循环 码 是 一 类 非常 重要 的 线性 码 ,这 类 码 自 1957 年 Prange 提出 以 来 ,有 关 码 的 
结构 .性 质 和 编译 码 方法 得 到 了 极其 快速 和 深入 的 研究 :并 且 目 前 发 现 的 大 部 分 线性 
码 都 与 其 有 着 密切 的 联系 。 另 外 ,由 于 这 类 码 的 代数 结构 清晰 、 性 能 较 好 、 编 译 码 电 
路 简单 和 易于 实现 等 特点 ,实际 应 用 中 使 用 的 几乎 都 是 这 类 码 。 

定义 11.2.9 设 F 是 一 个 有 限 域 。 令 CSSFs 为 一 个 线性 码 。 我 们 说 一 个 线性 
码 C 是 循环 的 ,如 果 对 任意 的 c= 二 《coc ,… ,cs_1)EC,c 的 循环 右 移 c 二 (c,_1 ,co， 
ci scn-2)EC( 因 此 ,ce 的 任意 循环 移 位 都 属于 C ) 。 

换 句 话说 ,一 个 线性 码 C 是 循环 的 也 就 是 说 它 是 向 量 空间 F; 的 一 个 循环 子 
空间 。 

例 11.2.9 例 11.2.8 中 的 参数 为 [7,4] 的 二 元 Hamming 码 就 是 一 个 循环 码 。 

循环 码 的 表示 方法 有 很 多 ,这 里 介绍 3 种 常用 的 表示 方法 , 即 多 项 式 表示 、 和 矩阵 
表示 和 根 表示 。 

首先 ,讨论 循环 码 的 多 项 式 表示 。 

定义 11.2.10 设 下 是 一 个 域 ,多 项 式 的 集合 FLz] 定义 为 

F[zx] {ro 二 nz 十 rox? 十 十 rx" | ri EF,n EN 
集合 FLzj 中 有 自然 的 加 法 和 乘法 , 即 通常 意义 上 的 加 法 和 乘法 ,所 有 的 运算 都 是 在 
域 下 中 。 
例 11.2.10 设 F=Fi 二 Zi, 则 Fi[Lxj 是 所 有 系数 在 Fi 中 的 多 项 式 集合 。 此 时 ， 
(人 十 2 十 3 二 7 十 《3 十 2 十 有 1 十 4z 十 2z2 十 6zs 
3《5 十 27 十 3 十 622 和 一 工 二 67 二 202 十 4422 
《5 二 22 十 2 

定义 11.2.11 集合 FLz] 及 其 定义 在 之 上 的 加 法 和 乘法 被 称 为 域 忆 上 的 不 定 
元 为 的 多 项 式 环 。 

定义 11.2.12 设 k 是 一 个 非 负 正 整数 ,下 是 一 个 域 , 则 FLz]x 表示 FLzxj 中 所 
有 次 数 小 于 & 的 多 项 式 集合 。 按 照 惯 例 , 零 多 项 式 的 次 数 定义 为 一 == 。 

显然 ,FLz]j 是 下 上 的 无 限 维 的 向 量 空 间 ,FLz]j 是 FLxj 的 维 数 为 k 的 子 空间 。 

设 FF 是 一 个 有 限 域 。 在 所 与 已 Lz], 之 间 建 立 以 下 对 应 关系 : 对 每 个 c 一 (coycl， 
CE 令 更 (ce) 一 co 十 cz 十 十 cea2e 1EP, [zj ; 则 了 亚 :Fs 一 FLzxj; 是 一 个 
一 一 对 应 关系 。 

定义 11.2.13 设 CCF: 是 一 个 线性 码 ,c 一 (co ycl,… co-i)EC, 码 字 e 的 码 多 
项 式 定义 为 


cCzr) = 二 co 十 az 二 十 cx! 
由 定义 11. 2.13 可 知 , 码 多 项 式 的 系数 就 是 码 字 各 分 量 的 值 ,x’ 的 次 数 i 代表 该 
分 量 所 在 的 位 置 。 
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令 CCz) 一 {cCz)lcEC}, 显 然 ,CCz) 一 更 (C) 是 FLz], 的 一 个 线性 子 空间 。 

当 C 是 循环 码 时 ,车 c= 二 (coycis sc-_1)EC;y 则 C= 二 (civcoscis"scss) EC, 
于 是 ce 的 码 多 项 式 为 ec"(z) 一 ci 十 coz 十 … 十 caz ?十 cs_zx”!EF[zxj,。 显 然 ， 
c (Xz) 夺 zc(x)mod(x" 一 1)。 车 记 以 多 项 式 x" 一 1 为 模 的 剩余 类 环 为 F,[zrj/(x" 一 1), 则 
c 的 码 多 项 式 c'(z) 恰 好 对 应 Fo[zj/(x" 一 1) 中 的 元 素 zc(x)。 设 g(x)EF [zx];, 由 
多 项 式 的 带 余 除 法 可 知 ,g(x) 二 hr) Cx" 一 1) 十 r(x) ,degr 志 n 一 1, 即 g(x) 二 r(x) ,所 
以 Fu[z]/(z 一 1) 中 的 每 个 元 素 gCz) 都 有 Fs[zxj, 中 的 唯一 元 素 r(x) 作 为 其 代表 。 
因此 ;在 模 一 1 的 意义 下 FLzj/(z"===FiLxwjs 

定理 11.2.6 CCFs 是 循环 码 当 且 仅 当 C(Cz) 是 FLxj/(x" 一 1) 中 的 理想 。 

证 明 : 假设 CESFs 是 循环 码 。 由 C 的 线性 性 可 知 ,C 对 应 的 C(xr) 二 亚 (C) 是 
到 [xj/(x" 一 1) 的 线性 子 空间 。 设 cl(zx)EC(z), 由 C 的 循环 性 可 知 ,cCz) 对 应 的 码 
字 e 的 任意 循环 移 位 都 属于 C。 特 别 地 ,循环 右 移 1 位 、2 位 、…… .n 一 1 位 都 属于 
C, 这 些 码 字 所 对 应 的 码 多 项 式 分 别 为 zcCz)、zzcCz)、 x"” lc(x), 这 些 多 项 式 当 然 
都 属于 CCz)。 对 任意 的 r(Cz)EFsLz]/(Cz" 一 1),r(Cz) 都 可 以 表示 为 1.z、zz、…、z" ! 
在 F。 上 的 一 个 线性 组 合 , 即 r(x) 二 ro 十 ix 十 … 十 rs-ix"!1 ,riEF,i 二 0,1,.… ,nn 一 
1。 因 此 ,由 CCz) 的 线性 性 可 知 ,r(z)cCz)ECCz)。 综 上 所 述 ,CCz) 是 Fy[xj]/(x" 一 1) 
中 的 理想 。 

反之 ,假设 CCz) 是 FL[zxj/(x" 一 1) 中 的 理想 ,显然 ,C(x) 对 应 的 C 一 更 -CCCz)) 
是 Fs 的 线性 子 空间 即 线性 码 。 设 cEC= 亚 司 (C(x)), 则 6 的 码 多 项 式 c (x) EE 
C(x)。 由 于 C(xz) 是 理想 ,所 以 xc(x)EC(lxz)。 因 此 ,xc (x) 所 对 应 的 cEC= 
于 1(C(Xx)), 而 ce 恰 是 c 的 循环 右 移 ,所 以 CFs 是 循环 码 。 

由 近世 代数 知识 可 知 ,F[zxj/(zx" 一 1) 中 的 理想 均 是 主 理想 , 即 理想 中 的 每 个 元 
素 都 是 由 一 个 元 素 的 倍 式 组 成 。 既 然 CCz) 是 Fo[zxj/(x" 一 1) 中 的 理想 ,所 以 C(x) 
是 一 个 主 理想 ,必然 能 找到 一 个 生成 这 个 主 理想 的 .次 数 最 低 的 .最 高 次 项 系数 等 
于 1( 首 一 ) 的 多 项 式 g(Cz), 使 得 CCz) 一 (g(Cz)) 一 {rCz)g(Cz)EFLz]/Cz 一 1)1 
r(Cz)EFLz]/z 一 1)}。 把 主 理想 CCz) 的 生成 元 g(Cz) 称 为 循环 码 C 的 生成 多 项 
式 , 所 有 的 码 多 项 式 都 是 gsCz) 的 倍 式 。 由 此 可 以 直接 证 明 以 下 结论 。 

定理 11.2.7 设 CSFs 是 一 个 参数 为 [n.k&j 的 循环 码 , 则 存在 唯一 的 n 一 & 次 首 
一 多 项 式 g (x) 使 得 每 个 码 多 项 式 c(x)EC(z) 都 是 g(x) 的 倍 式 , 且 每 个 低 于 nn 次 的 
g (ZX) 的 倍 式 一 定 是 码 多 项 式 。 

下 面 的 定理 给 出 了 循环 码 的 生成 多 项 式 应 满足 的 条 件 。 

定理 11.2.8 参数 为 [n,k&kj 的 循环 码 C 导 Fs 的 生成 多 项 式 g (xz) 一 定 是 x" 一 1 
的 因 式 , 即 zx” 一 1 二 g(x)h(zx)。 反 之 ,车 g(x) 是 zx" 一 1 的 次 数 为 n 一 & 的 因 式 , 则 
8g(ZX) 一 定 能 生成 参数 为 [n,k] 的 循环 码 。 

证 明 : 假设 g(x) 不 是 xz" 一 1 的 因 式 , 则 由 多 项 式 的 带 余 除 法 可 知 ,zx" 一 1= 
g(XT)h(zT)T+r(r) .0degr 二 degg ;由 此 可 知 ,r(x) 二 (x 一 1) 一 g(xX)h(zx) EF[Lz]/ 
(zx" 一 1) ,这 说 明 在 FLzj/(zx" 一 1) 中 找到 了 比 g(x) 的 次 数 更 低 的 多 项 式 r(x) ,导致 
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矛盾 。 这 就 证 明了 g(x) 一 定 是 x" 一 1 的 因 式 。 剩 余 的 结论 可 由 前 面 的 讨论 容易 证 明 。 

定理 11. 2. 8 说明 ,要 寻找 一 个 参数 为 [n,kj 的 循环 码 , 就 是 要 寻找 一 个 能 除 尽 
ZX" 一 1 的 nn 一 k& 次 首 一 多 项 式 g(x), 由 g(x) 生成 的 主 理想 就 是 一 个 参数 为 [n,kj] 的 循 
环 码 。 这 说 明 , 只 要 知道 了 x" 一 1 的 因 式 分 解 , 用 它 的 各 个 因 式 的 乘积 便 可 构造 出 许 
多 不 同 的 循环 码 。 

例 11.2.11 构造 一 个 参数 为 [7,3] 的 二 元 循环 码 。 由 于 在 Fes 上 zx" 一 1 一 
(z 十 1)(zs 十 z 十 1)(zs 十 z? 十 1), 取 sg(Cz) 一 (Zz 十 1)(zs 十 z 十 1), 由 gCz) 生 成 的 循环 
码 便 是 一 个 参数 为 [7,3] 的 二 元 循环 码 。 

接 下 来 讨论 循环 码 的 矩阵 表示 。 

设 参 数 为 [n,kj 的 循环 码 CS F 的 生成 多 项 式 是 g(x), 则 由 定理 11. 2. 8 可 知 ， 
XTX" 一 1] 二 g(xX)h(zx),deg gg 一 n 一 k,deg hh 一 k。 由 定理 11.2.7 易 知 ,g(x)、zg(x)、…、 
ze 1gCz) 是 CCz) 在 FF 上 的 一 组 基 , 其 线性 组 合 可 以 把 所 有 的 入 个 码 多 项 式 产 生出 
来 。 因 此 ,这 组 基 所 对 应 的 & 个 双重 向 量 作 为 行 所 构成 的 & 久 2 阶 矩 阵 G 是 循环 码 C 
的 生成 矩阵 。 所 以 ,可 以 用 以 下 方法 得 到 生成 矩阵 G。 

设 记 (w) 二 go gs 二 让 直 Bi 一 则 


Xg (ZX) = gox 二 gz 十 "十 gz 十 grr"™ "tl 


一 1 | | 


Ak 2 1 
Es Re .i 


hl | 
T 


g(x) go 
因此 , 码 C 的 生成 矩阵 多 项 式 为 


让 


SCZ) 
CGCz) 一 “ 
zg(r) 
gr) 
相应 地 , 码 C 的 生成 矩阵 为 

Bo Bl Sir Bk 0 0 Sen 0 
G= 0 go :Bi Er Ee 0 0 
| 0 时 入 加 0 go 区 1 | dt Brn-k—l Bunk 


设 h(rz)= 二 ho 十 hz 十 十 hz! 十 hz* ,由 x" 一 1 二 g(xX)h(r)= 二 (go 二 gz 二 
i i Ld ,i | 
为 0 的 事实 可 知 

gah 一 1 

goho =— 1 

gohit+ giho = 0 

gohz 二 gihi+ gzho 一 0 


Sm-1jo 十 Sr -27 十 … 十 Skip 一 0 
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这 里 约定 gi 二 0(i 二 n 一 k 十 1 ,n 一 k 十 2,*…,n 一 1) ,hj 一 0G 一 k 十 1,k 十 2,*…,n 一 1)。 
由 此 可 知 , 码 C 的 校 验 矩阵 为 
he he … hi ho 0 0 00 0 


0 2 0 he hes YS me ry Mo 

H 完全 由 有 h(x) 的 系数 决定 ,因此 ,也 称 h(x) 是 循环 码 C 的 校 验 多 项 式 。 

可 直接 验证 G . 于 一 0, 式 中 的 0 是 一 个 &X (2 一 A) 阶 零 和 矩阵 。 由 gx 一 1， 
gojho 一 一 可知,G 和 H 的 秩 分 别 为 & 和 nn 一 &, 并 且 及 二 1( 因 gx 一 1),g。 和 ho 均 
不 为 零 。 

由 11.2. 3 小 节 中 的 讨论 可 知 ,循环 码 C 的 对 偶 码 C+ 以 H 和 G 分 别 为 生成 矩阵 
和 校 验 矩阵 。 巾 G 和 HH 的 形式 可 以 看 出 ,以 ha!'xth(x7!) 为 生成 多 项 式 的 循环 码 和 
以 g(xz) 为 生成 多 项 式 的 循环 码 互 为 对 偶 码 。 

例 11.2.12 例 11.2.11 构造 的 参数 为 [7,3j 的 二 元 循环 码 中 ,g(x) 二 (zx 十 1) 
(zs 十 z 十 1) ,h(x)= 二 zx: 十 zx? 十 1, 则 


1l110 10 0 0 
1 
全 10 1 0.8 
G=|0 1 0 1 1 1 0|,， H= 
"01 1 人 下 
了 有: | 
0001 1 0 1 


最 后 讨论 循环 码 的 根 表示 。 

设 CF 是 一 个 参数 为 [n.kj 的 循环 码 . 其 生成 多 项 式 是 g(x). 则 将 g(x) 在 FF 
的 扩 域 中 的 根 叫 做 循环 码 C 的 根 。 

为 了 便于 讨论 以 下 假设 与 q 互 素 。 此 时 x" 一 1 在 的 扩 域 中 无 重 根 ,而 
SCZz)|(z 一 1), 所 以 gz) 在 下 的 扩 域 中 也 无 重 根 。 记 g(Cz) 在 FF 的 扩 域 中 的 所 有 
根 组 成 的 集合 为 工 ,1T| 王 deg g 一 ?2 一 A, 则 对 任意 的 cCz)EF,Lz], 有 

cCz) 对 应 的 cE Fs 为 C 的 码 字 当 且 仅 当 g(x)1c(x) 当 且 仅 当 对 每 个 YET， 
c(7) 二 0 所 以 循环 码 C 可 以 通过 以 下 方式 来 表示 : 

{c(Cz) E FLzxj | degc(x) nm—1,V7Y ET,c(Y) = 0} 

用 这 种 根 的 表示 方式 可 以 给 出 循环 码 C 的 一 个 校 验 矩阵。 因为 c 一 (co,cl,…， 
ca)EC 当 且 仅 当 c(z) 一 co 十 cz 十 … 十 cizECCz) 当 且 仅 当 对 每 个 7y,ET,i== 
1,2,… ,|T 开 | 一 2 一 Ac(7) 一 co 十 ci7X 十 … 十 ca 一 0 当 且 仅 当 cBT 一 0。 其 中 


1 nh 和 
1 7 7 
H - . - - 
| 1 yr i 


例 11.2.13 ”考虑 参数 为 [7.4] 的 二 元 循环 码 , 取 gs(Cz) 一 1 十 z 十 zs, 它 以 Fs 的 
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本 原 元 co 及 at 为 根 , 则 它 的 校 验 和 矩阵 为 
1 a «a 和 
H=|1 a a a a a a 
1 a a a a a 训 
根据 Fz 的 本 原 元 表示 与 形 之 间 的 对 应 关系 ,可 将 上 述 和 矩阵 化 为 二 元 矩阵 ,再 
删 去 线性 相关 的 行 向 量 ,最 终 可 得 到 [7,4] 二 元 循环 码 的 一 个 二 元 校 验 和 矩阵 。 
有 了 上 述 3 种 表示 方式 ,可 以 用 其 中 任何 一 种 方式 表示 循环 码 。 也 可 以 把 c 和 
clz) 看 成 一 样 的 。 常 用 的 循环 码 主要 有 两 种 , 即 BCH 码 和 Reed-Solomon 码 , 这 两 
种 码 将 在 下 节 介 绍 。 


11.3 一些 好 码 


寻找 好 码 是 纠 错 码 中 的 一 个 核心 研究 课题 ,目前 已 经 构造 出 了 很 多 好 码 ,但 限于 
篇 幅 和 写作 本 书 的 目的 ,本 节 只 介绍 在 信息 安全 中 最 常用 的 几 类 典型 好 码 , 包 括 
BCH 码 、 广 义 Reed-Solomon 码 ( 含 Reed-Solomon 码 和 扩展 Reed-Solomon 码 )、 
Goppa 码 和 二 元 Reed-Muller 码 。 


11.3.1 BCH 码 


BCH 码 是 一 类 分 别 由 Hocquenghen 于 1959 年 ,以 及 Bose 和 Chaudhuri 于 
1960 年 独立 提出 的 循环 码 , 有 着 丰富 的 代数 结构 、 深 入 的 研究 结果 和 广泛 的 应 用 。 

定义 11.3.1 设 n 与 g 互 素 (这 个 条 件 主要 是 为 了 保证 在 忆 的 扩 域 Fo 中 存在 
阶 为 的 元 素 a, 此 时 Bw”-?" 的 阶 就 是 n,B 是 Fy 的 本 原 元 ),/ 和 9 是 正 整 数 ,2 三 
6 三 n 一 1, 则 称 以 6 一 1 个 连续 的 方 守 wa :as 为 根 的 码 C= 二 {c(x)EF,[xj/ 
(x 一 1)1c(arti) 二 0,i 一 0,1,… ,6 一 2} 是 设计 距离 为 6 的 BCH 码 。 

当 nn 二 gq” 一 1 时 , 称 为 本 原 BCH 码 ; 否 则 , 称 为 非 本 原 BCH 码 。 

特别 地 , 当 取 nn 二 gq 一 1 时 ,此 时 阶 元 素 a 就 是 下 , 的 本 原 元 ,这 类 循环 码 称 为 
Reed-Solomon 码 , 由 于 这 类 码 是 广义 Reed-Solomon 码 的 一 种 特殊 情况 ,所 以 将 在 下 
节 中 讨论 。 但 值得 注意 的 是 ,通常 广义 Reed-Solomon 码 是 一 类 线性 码 , 而 Reed- 
Solomon 码 是 一 类 循环 码 。 

注意 到 cCz) 与 zcCz) 一 定 有 相同 的 非 零 根 , 并 由 定义 直接 可 得 出 下 面 的 
定理 。 

定理 11.3.1 BCH 码 是 一 个 参数 为 [n,kj 的 循环 码 , 其 生成 多 项 式 g (x) 一 
Lem{go (Xx),g1(T),… ,ga-2a(X)) ,其 中 gi;(x) (i 一 0,1,…,6 一 2) 表 示 art' 的 极 小 多 项 
式 ,Lem{go (ZX) ,g1(X)，-… ,ga-2z (XT)) 表 示 go《X),g1(X),… ,gs-z《X) 的 最 小 公 倍 式 ， 
k=n— degg.。 

下 面 的 定理 给 出 了 BCH 码 的 极 小 距离 4d 与 其 设计 距离 6 之 间 的 关系 。 

定理 11.3.2 BCH 码 的 极 小 距离 4 不 小 于 设计 距离 6, 即 < 三 9。 

证 明 : 设 c(Cz) 王 co 十 ciz 十 … 十 ciz EC, 则 由 定义 可 知 ,cCz)EC 当 且 仅 当 
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cati) 一 co 十 ca 人 十 … 十 ciac+aDo 一 0 一 0,1,… ,6 一 2 当 且 仅 当 cH"7==0。 其 中 


人 1 (a)™! ] 


Cat )™! | 


15 i atte | 
由 推论 11. 2. 1 可知, 欲 证 d 三 6, 只 需 证 明 H 的 任意 6 一 1 列 都 在 F。 上 线性 独 
立 , 因 此 ,只 需 证 明 H 的 任意 6 一 1 列 组 成 的 (6 一 1) 关 (6 一 1) 阶 矩阵 的 行列 式 都 不 等 
于 零 。 取 H 的 任意 6 一 1 列 , 给 出 下 列 (6 一 1) XxX (6 一 1) 阶 和 矩 阵 , 即 


a a a 二 ) 
QD CD iD 
M= i » 0 人 <inmn 寺 nl1 
Qa) izCtta2) rie1 tte2) 
则 有 
an! ai eo. ai- 
aa CHD ai CH Qi 
Lle= 
Qte2) aiz Ch-2) 1 02) 
1 1 “se 1 
aaa ai 区 as-1 
= tt 
QD) Do 2) 


因为 oa ,oz ,…… ,as-1 互 不 相同 且 均 不 为 零 ,. 上 述 右 边 的 行列 式 是 Vandermonde 行列 
式 , 所 以 |MI 天 0, 这 就 证 明了 < 二 6。 

例 11.3.1 设 a 是 Fz 的 本 原 元 , 取 n 二 15, 若 a 是 BCH 码 C 的 根 , 则 其 共 斩 
a vat as 也 都 是 码 C 的 根 ,其 中 有 两 个 连续 的 方 究 a、a? .因此 , 码 C 的 设计 距离 9 一 
3。&a 的 极 小 多 项 式 是 x 十 x 十 1, 所 以 码 C 的 生成 多 项 式 g (zx)= 二 x 十 x 十 1,k 二 nn 一 
degg 一 15 一 4 一 11。 因 此 得 到 一 个 参数 为 L15,11,3] 的 BCH 码 。 


11.3.2 广义 Reed-Solomon 码 


Reed-Solomon 码 最 早 是 由 Reed 和 Solomon 于 1960 年 构造 出 来 的 一 类 MDS 
码 , 而 广义 Reed-Solomon 码 是 Reed-Solomon 码 的 一 种 推广 ,很 多 常用 的 线性 码 ( 如 
Reed-Solomon 码 、 扩 展 Reed-Solomon 和 Goppa 码 ) 都 可 以 由 一 个 广义 Reed- 
Solomon 码 来 表示 。 它 不 仅 在 各 种 通信 系统 中 得 到 普遍 使 用 .而 且 在 存储 系统 如 CD 
或 DVD 中 也 大 量 使 用 ,并 且 在 信息 安全 领域 中 得 到 广泛 使 用 ,如 用 于 密码 算法 设 
计 、 认 证 系统 的 构造 和 秘密 共享 协议 的 设计 等 。 

定义 11.3.2 设 下 是 一 个 域 ,n 是 正 整 数 ,0 三 k 三 n 且 k 是 整数 。 假 设 wm ,v， 
…,v, 是 下 中 的 非 零 元 ,并 且 ai.az.…*.as 是 下 中 两 两 互 不 相同 的 元 素 。 令 @ 一 (ai， 
Q29 Qn) EF ,v=(vVi VU) EF ,广义 Reed-Solomon 码 定义 为 
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GRS,ala ,oo) = {vf la) vf a) vf Ca)) | fxr) EFLz]) EF 
有 时 也 把 Cu Fa ) ,vsf(as),… ,vf (a,)) 简 记 为 f。 
例 11.3.2 设 F=Fs== ,n= 二 3,k 二 2,v 二 (111),ea = 二 (012)。 则 
RSS = (CFO FCOD FEY | Fly E FLi)}s 


其 中 
Fs[xjs 一 {0,1,2,z,z 十 1,z 十 2,2z,2z 十 1,2z 十 2) 

所 以 

GRSss(e ,v0) 一 {(000),(111),(222),(012),(120) ,C201)(021), (102))} 

(ed 

显然 , 域 下 的 大 小 对 GRS,, (a ,v) 有 必然 的 影响 。 特 别 地 ,由 于 向 量 a 中 的 分 量 
不 同 ,n 不 会 比 域 下 中 的 元 素数 目 大 。 例 如 .车 下 = 二 F, 则 最 大 只 能 取 到 2。 当然 ， 
长 为 2 的 码 没 有 特别 的 意义 ,所 以 人 们 很 少 在 广义 Reed-Solomon 码 中 令 FF 二 Fs。 

关于 码 GRS,, (a ,0) ,容易 证 明 以 下 定理 。 

定理 11.3.3 GRS, (a ,v) 是 线性 码 。 

证 明 GRS, 《la ,v0) 的 一 些 性 质 , 需 要 引入 下 面 的 引 理 。 

引 理 11.3.1 设 下 是 一 个 域 ,k 是 一 个 正 整 数 ,h(z) 是 FLz]x 中 的 一 个 多 项 式 ， 
则 有 h(x) 在 下 中 至 多 有 k 一 1 个 根 。 

由 定理 2. 3. 2 余 式 定理 可 直接 证 明 引 理 11. 3. 1 。 

定理 11.3.4 设 已 , 是 一 个 有 限 域 ,” 是 正 整 数 ,0 三 k 三 n 且 k 是 整数 , 则 GRS,, 
(ae ,v0) 是 一 个 参数 为 [n,k] 的 线性 码 , 并 且 若 k 隆 0, 则 GRS, (a ,v) 是 MDS 码 。 

证 明 : 令 C= 二 GRS, (a ,v), 由 定理 11.3.3 可 知 ,C 是 线性 码 。 为 了 证 明 C 的 维 
数 是 ,首先 证 明 |C| 二 |1F,1* 一 q* ,其 中 |1C| 表 示 C 中 的 元 素 个 数 ,|F, | 表示 F, 中 的 
元 素 个 数 。 易 知 ,Fs[Lzxj 中 的 元 素 个 数 是 |F,1* 二 4 ,所 以 有 |1C| 三 q+。 假设 1C| 一 
q*, 则 存在 多 项 式 f/(x),g(x) EF[Lzxjs 使 得 f(x) 隆 g(x), 但 是 f= 二 g。 令 h(x) 二 
f(z) 一 g(xX)EF[zxji, 且 h(x) 不 为 零 多 项 式 , 有 

h =(Cvh(a) ,vwh (a,)) 
=(vi fla) vf (an)) — (vig a) ,Ung (an)) 
三 闫 二 名 寺 交 

所 以 ,对 i 二 1,2,…,n, 都 有 vih (ai;) 二 0 ,但 是 对 所 有 的 i, 有 vi 关 0,; 因 此 ,对 i 二 1,2， 
…,n ,必须 有 h(ai) 二 0。 因 为 这 些 a; 是 两 两 互 不 相同 的 ,所 以 h(x) 在 下 中 有 nn 个 
根 。 但 是 由 引 理 11. 3. 1 可 知 ,h(xz) 在 下 中 至 多 有 k 上 一 1 二 nn 个 根 , 了 矛盾 。 于 是 有 
IC|=|F,|*=gt。 

现在 来 证 明 C 的 维 数 一 定 是 上 &。 显 然 C 的 维 数 至 少 是 (否则 C 的 元 素 个 数 小 
于 |F,1* 二 qt)。 假 设 C 的 维 数 是 1 ,其 中 /一 A. 则 存在 wwEC 满足 vi,…,wv, 线 
性 独立 ,所 以 车 矩阵 G 的 第 i 行 是 vi;, 则 C 王 RSCG)。 也 即 是 说 ,G 是 C 的 一 个 生成 
和 矩阵, 即 对 所 有 的 ciE Fi 一 1.2,…,/ ,有 co 十 caoz 十 … 十 cuwEC。 若 所 有 具有 这 
种 形式 的 码 字 互 不 相同 , 则 C 将 会 有 |F,|' 二 |1Fo|* 个 元 素 , 与 1C| 王 |Fv| 4 矛盾。 于 
是 对 i 一 1,2,…,/l 存在 ci;,d;E 下, 使 得 对 某 个 j,cj 关 dj 而且 
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owtcvtt Ta = dv dv tdiv, 
所 以 有 
add) md)v 二 二 +(c—d)v=0 
但 是 cj 一 dj 隆 0, 所 以 v1,… ,wi 不 是 线性 独立 的 ,推出 了 矛盾。 于是,C 的 维 数 是 &。 
最 后 证 明 车 了 关 0, 则 CC 是 MDS 码 。 由 Singleton 界 , 有 ds(CC) 反 7 一 上 十 1。 只 
需 证 明 dwin(C) 宇 n 一 k 十 1 即 可 。 对 所 有 的 hEC 且 hh 隆 0( 因 为 k 隆 0, 所 以 这 样 的 码 
字 hh 一 定 存在 ), 由 引 理 11. 3. 1 可 知 ,h(x)EF[xjs 至 多 有 k 一 1 个 根 , 于 是 hh 的 至 
多 kk 一 1 个 分 量 为 0, 所 以 Wa (h) 宇 n 一 (k 一 1) 二 n 一 k& 十 1 ,于 是 有 dwin(C) 宇 n 一 k 十 
1, 因 此 ,C 是 MDS 码 。 
定理 11. 3.4 表明 ,广义 Reed-Solomon 码 就 纠 错 而 言 是 一 个 好 码 。 此 外 ,也 证 
明了 |C|==|F,1*。 于 是 F,[xjs 中 的 不 同 元 素 给 出 了 C 中 的 不 同 码 字 ,也 即 是 说 , 若 
f(x),g(X)EF[zxjs 使 得 f(x) 关 g(x), 则 f 关 g。 
由 于 GRS,r l(a， a G, 定 
理 11. 3.5 给 出 了 其 中 的 一 
定理 11.3.5 和 矩阵 


v2 Un 
ViQl U2Q2 UnQn 
G Ee i 下 i 
ViQl V2Qa2 UnQn 
viat! za 1 vat! 


是 GRS, (a ,m) 的 一 个 生成 矩阵 。 
证 明 : 需要 证 明 两 点 : DG 的 行 线性 独立 ; @GRS,.i(@ ,v0) 一 RS(G)。 
先 证 明 G 的 行 线性 独立 。 假 设 


ad dd ps i | (Cuaa4 一 (0,0,……,0) 
则 下 面 的 等 式 成 立 
(co 十 cial 十 czai 十 … 十 ccia 和 ll) 一 0 
za (ce 十 clas 十 caa3 十 … 十 ceia 和 : ) 一 
va(co 十 Cian 十 czQ@ 十 … 十 cba 和 ll) 一 0 


但 是 对 所 有 的 iu 天 0, 所 以 对 所 有 的 ;一 1,2,…:,mzsaui 是 多 项 式 FCz) 一 co 十 cz 十 
czz2 十 … 十 cixiEFLz]e 的 根 。 但 是 & 委 2 , 若 f(z) 不 是 零 多 项 式 , 则 由 引 
理 11. 3.1, 它 至 多 有 & 一 1 个 不 同 的 根 , 于 是 f(x) 一 定 是 零 多 项 式 ,所 以 co 一 0,ci 一 
0,…:,ct 一 0, 于 是 G 的 行 是 线性 独立 的 。 

现在 证 明 GRS,. (a ,0) 一 RS(G)。 令 JEGRSeCa ,0), 则 存在 f(x)EF,[Lzxj 
使 得 f= 二 (vf (Ca), vf Ca), vf (Ca)), 令 FCz) 一 co 十 cz 十 cazz 十 … 十 


cr-iz* 则 
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f= 二 (vi(co 二 ca 十 czaf 十 十 cia!)， 
va(co 十 CiQz 十 czo 十 … 十 cia 1) 


valco 十 cian 十 cz@ 十 "十 cias 1)) 


进行 重组 后 ,可 以 得 到 
f= (ulcoyvuzcov…，uUnco) 十 (uicialy ozciaz 。…，Uz2cla2) 
十 … 十 (ucria 和 lvzcria 和 1 ,vceiat!) 
所 以 
太一 co(u vs) ca yans) 十 … 十 ciCoa 和 na 和 ll)。 

所 以 JERSCG) ,因此 ,GRSr (a ,zu)SRSCG) ,又 GRS (a ,wv) 和 RS(G) 的 维 数 是 
一 样 的 ,所 以 GRS, (a ,u) 一 RSCGC) 。 

定理 11. 3. 2 表明 ,GRS, (a ,vv) 是 一 个 参数 为 [n,kj] 的 线性 码 , 所 以 ,由 定 
理 11.2.3 可 知 ,GRS,x la ,wv) 的 对 偶 码 是 一 个 参数 为 [n,n 一 kj 的 线性 码 。 下 面 定 
理 11.3.6 给 出 了 GRS, la ,v) 的 对 偶 码 的 结构 。 

定理 11.3.6 GRS,i(a ,v)t+= GRS,, Ca ;0) ,其 中 二 (yds ,Un) ,Uj 一 


w'( I cw —o)) ;= 12 


Lj(x) = IT (zx—ai) 


i=1,izj 


首先 证 明 , 若 JEGRSii (a ap),gEGRS Ce), 则 和 8 的 点 积 为 0。 令 
f(xX)EFLzxji 为 f 对 应 的 多 项 式 ,g (x)EF[Lxj-4 为 g 对 应 的 多 项 式 。 乘 积 
了 C98(2》 的 次 数 至 密 为 wi 一。 对 每 个 i 二 1,2,…,n, 有 


Fi pk We = fF- , 
j=1 Lj oj ) 


fla)glai) 一 Cai)g(Cai) 


容易 证 明 
FCz)gCz) 一 >) ES /ee) 
j=1 La 


f(x)g(z) 的 次 数 不 大 于 nn 一 2, 因 此 等 式 左边 的 x”! 项 的 系数 为 0, 等 式 右边 的 zx”! 
项 的 系数 也 为 0。 所以， 


0 = 之 EC) = Df yee 


这 恰好 是 和 gg pg 所 以 ， ff 和 g 的 点 积 为 0, 于 是 有 GRS,n_t (ae ,uvx) 三 
GRS, (a ,v)+ .但 是 由 于 它们 都 是 维 数 为 ”一 A 的 线性 码 ,所 以 等 式 成 立 。 

因为 一 个 线性 码 的 校 验 矩 阵 是 它 的 对 偶 码 的 生成 矩阵 ,所 以 可 以 很 容易 地 写 出 
GRS, (a ,mm) 的 一 个 校 验 矩 阵 H。 
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( wu uz 四 al 
| ual Uzaz UnQn | 
HS= > 
uial U2a2 ge UnQn 
nhl nhl hl 
Wal U2Q2 UnQn 


特别 地 ,在 定义 11. 3.2 中 , 设 F, 是 一 个 有 限 域 ,a 是 Ff, 的 本 原 元 (也 称 生 成 
元 ) ,此 时 ,F。 中 的 元 素 可 表示 为 {0,1,a,…,ar?*}。 当 取 n 二 |F,| 一 1 一 g 一 1,wvi 
za 一 … 一 一 1,0 委 & 去 上 且 & 是 整数 ,w 一 1,a 二 a,… ,a 一 a”!, 即 可 得 到 Reed- 
Solomon 码 的 一 个 等 价 定 义 。 当 取 n=|1F|==gyw1 = 二 v= 二 … 二 v= 二 1,0 守 k 信 n 且 k 
是 整数 ,a 二 0,as 二 1,… ,a 二 a”?, 即 可 得 到 扩展 Reed-Solomon 码 的 一 个 等 价 定义 。 
当然 ,关于 广义 Reed-Solomon 码 的 有 关 结 果 对 Reed-Solomon 码 和 扩展 Reed- 
Solomon 码 也 都 是 成 立 的 。 


11.3.3 Goppa 码 


Goppa 码 是 俄国 学 者 Goppa 于 20 世纪 70 年 代 初 提出 的 一 类 有 理 分 式 码 , 其 主 
要 优点 是 它 的 某 些 子 类 能 达到 Shannon 信道 编码 定理 所 给 出 的 性 能 ,并 且 有 快速 译 
码 算法 。 这 类 码 可 用 于 信息 安全 领域 的 研究 中 ,如 可 用 它 构造 各 种 密码 算法 和 认证 
协议 等 。 

定义 11.3.3 设 下 是 一 个 有 限 域 ,LL 二 {a az sa,) sai EForn(i 一 1,2,*…,n)， 
Qi 天 qj (i 关 j)。 设 g(x)EFr[zxj,g(zx) 的 根 不 在 工 中 , 即 g(a;) 关 0(i 二 1,2,*…,n)， 
Goppa 码 定 义 为 


~ Ci a 
C= [ee € F: | 之 二 =0 mod SCz)] 
简 记 为 PCGL,g),gCz) 称 为 Goppa 多 项 式 。 特别 地 , 当 g(x) 为 不 可 约 多 项 式 时 , 称 为 
不 可 约 Goppa 码 。 
用 定义 直接 可 验证 ,Goppa 码 是 一 个 线性 码 。 另 外 .值得 一 提 的 是 定义 中 使 用 了 
两 个 域 , 要 注意 元 素 的 取 值 域 。 
下 面 的 定理 揭示 了 Goppa 码 和 广义 Reed-Solomon 码 之 间 的 关系 。 
定理 11.3.7 Goppa 码 TT(L.g) 是 一 个 广义 Reed-Solomon 码 的 子 域 子 码 。 


证 明 : 首先 需要 找 出 Goppa 码 PCL,.sg) 的 校 验 矩 阵 。 设 g(x) 一 22 gz's 于 是 


izx! 
Ee 


0<LH<e1 
是 关于 变量 z 的 一 个 次 数 小 于 上 的 多 项 式 ( 对 任何 >)。 由 于 
二 一 一 
部 一 本 次 Ko》 EE ] mad te) 


从 而 依据 (x 一 2)$8(x) 一 g(x) 一 g(z) 寺 一 g(xz)mod g(x), 再 令 名 一 g (aj) 1(j 二 1,2， 
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…,n) ,关系 式 


Ci 


=0 mod g(x) 
Qi 


i=1 


可 以 改写 成 


Dats > gin (ai)iz! 0 mod g(x) 
i=1 


= O01 
对 0 委 / 委 :一 1, 上 式 中 z: 的 系数 均 为 0。 可 以 发 现 ,c 一 (ciycz,…，,c) 必 与 下 列 和 矩阵 
的 每 一 行 向 量 之 内 积 为 0: 
fg > Sgt 
§ (gt ga1) SR & (gel gon) 


人 (Cg 十 gaal 十 十 ga 和 ) 0 6(gi 二 goa + 二 gar!) 

其 中 第 1 行 对 应 于 上 述 和 式 中 xz: 的 系数 ,第 2 行 对 应 于 x? 的 系数 ,…… ,第 上行 
对 应 于 x" 的 系数 。 

由 线性 代数 知识 可 知 , 对 上 述 和 矩阵 做 初等 行 变 换 并 不 影响 码 C 与 该 矩阵 行 的 正 
交 性 。 由 此 可 以 得 到 Goppa 码 PCL,.sg) 的 校 验 和 矩阵 为 

全 os 
H= Se 0 ee Se 

和 af ge 

其 次 ,考虑 广义 Reed-Solomon 码 GRSi(a ,SS),a 一 (aaz，…a) ,6 二 (5&1 ,6 ， 
56), 即 C 一 (Sai),eras)， flan)) | f(x) E Fr [zxji) 的 生成 矩阵 。 在 


GRSwa la ,8) 中 , 取 二， 上 且 设 f(z2) 二 全 rz 于 是 C 中 的 码 字 可 以 写成 


(名 Ze ,ez Za: a 2 /1:) 
与 名 Shs 所 
pe as … San 
一 (yo : 3 轰 5 
1 名 ao 
这 表明 ,Goppa 码 FPCL:sg) 的 校 验 矩 阵 正 好 为 GRS (Ce:6) 的 生成 矩阵 。 因 此 ， 
Goppa 码 PCGL.s) 是 一 个 广义 Reed-Solomon 码 的 对 偶 码 的 子 域 C(FCFae ) 子 码 。 由 
定理 11. 3. 6 可 知 ,Goppa 码 FPCGL:g) 是 一 个 广义 Reed-Solomon 码 的 子 域 (F,CFw ) 
子 码 。 
特别 地 , 当 mx 二 1 时 ,Goppa 码 工 (L.g) 就 是 一 个 广义 Reed-Solomon 码 , 即 为 
MDS 码 。 
下 面 的 定理 11. 3. 8 说 明了 Goppa 码 TT(L.g) 的 基本 参数 。 
定理 11.3.8 Goppa 码 PCGL:g) 的 码 长 x 一 | 工 | , 维 数 三 ?一 mt: 极 小 距离 4 二 
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t 十 1, 其 中 ,t 是 Goppa 多 项 式 g(x) 的 次 数 。 
证 明 : 由 定理 11. 3.7 的 证 明 过 程 可 知 ,Goppa 码 TT(L,g) 有 以 下 形式 的 校 验 
和 矩阵 


| & & ey Ss 
注 过 Sa Ga2 Ean | 
LSat 名 oa | 
1 1 1 fg Ca) 0 0 0 0 
Ql a2 am | 0 g (az) 一 0 0 0 
=| a a -+ a | 0 0 总 0 
0 0 0 0 
C7 \ 0 0 0 0 g(a) 


H 中 的 每 个 元 素 属于 Fy ,可 将 这 些 元 素 用 一 组 固定 的 基 表 示 为 F, 上 的 长 为 m 
的 列 向 量 ( 其 元 素 属于 F,), 从 而 H 可 以 看 作 是 下 上 的 mt Xn 和 矩阵, 它 在 F 上 的 秩 
不 大 于 mt ,于 是 上 三 n 一 mt。 由 于 H 的 任意 列 构 成 的 行列 式 都 是 Vandermonde 行列 
式 且 由 已 知 条 件 可 知 均 不 为 0, 所 以 由 推论 11. 2. 1 得 ,4 三 :十 1。 

特别 地 , 当 gq 二 2 时 ,. 即 二 元 Goppa 码 , 可 证 明 其 极 小 距离 & 在 g(x) (在 Fi 的 扩 
域 中 ) 没 有 重 根 的 条 件 下 不 小 于 2t 十 1, 即 4 三 2t 十 1。 对 这 一 结果 的 证 明 感 兴趣 的 读 
者 可 参阅 文献 [1]。 

例 11.3.3 令 g(z)= 二 xz? 十 xX 十 1:L 二 Fs 二 {10,1,asa?,…… as},aE Fz 是 本 原 元 ， 
满足 ?十 a 十 1 二 0。 直 接 可 验证 g(B) 隆 0,BEL 二 Fa ,所 以 g(x) 在 Fa 上 不 可 约 ,由 
此 可 以 得 到 一 个 不 可 约 二 元 Goppa 码 。 其 参数 为 [n,k,dj]= 二 [n= 二 2* 二 8,k 宇 8 一 3。2 
2,d 三 2degg 十 1 一 5]。 由 定理 11. 3.7 的 证 明 过 程 可 得 该 码 的 校 验 和 矩阵 为 


十 -| gO0% gy g(a se l(a) | 
Og (0 CT og (a es og (ay 
1 1 0 0 0 0 0 0 
| oo ol 1 1 
HO A li 1 00 1 
-| a a a a as |-|o 下 | 
. yo Lo, 
人 0 1 1 


11.3.4 二 元 Reed-Muller 码 


Reed-Muller 码 是 由 Muller 和 Reed 于 1954 年 提出 的 一 类 重要 的 线性 码 , 它 不 
仅 在 纠 错 码 中 有 着 重要 的 地 位 .而 且 在 密码 学 的 研究 中 尤其 是 密码 布尔 函数 的 研究 
中 具有 重要 的 作用 。 为 了 简单 起 见 , 本 节 只 讨论 二 元 Reed-Muller 码 。 这 类 码 有 很 
多 等 价 的 描述 ,这 里 用 布尔 函数 的 方式 描述 .以 便于 理解 和 进行 应 用 举例 。 有 关 布 尔 
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函数 的 概念 和 性质 参见 10. 1 节 。 
定义 11.3.4 设 m 是 正 整数 , 令 B, 一 {f(z)|f(z):F8 一 Fs}), 即 FF, 上 全 体 m 
元 布尔 函数 的 集合 ,n 二 2”,r 是 整数 且 0 三 r 二 mw,r 阶 二 元 Reed-Muller 码 定义 为 
C= {fTE€ER|fE Bdegf er)} 
简 记 为 RM(r,m)。 
下 面 两 个 定理 给 出 了 RM(r,m) 的 一 些 基 本 性 质 。 
定理 11.3.9 设 m 是 正 整数 ,r 是 整数 且 0 三 7 三 mm,; 则 二 元 RM(r,m) 是 一 个 


r 


参数 为 [n,k,d] 一 | 的 EL 


t=0 


证 明 : 因为 B,, 中 所 有 满足 degf 三 r 的 mm 元 布尔 函数 f(z) 构成 ,上 的 一 个 向 
量 空间 ,由 此 可 知 ,RM(r,m) 是 的 一 个 向 量子 空间 , 即 RM(r,m) 是 线性 码 。 显 
然 , 码 长 为 n= 二 2”。 

又 因为 次 数 不 大 于 + 的 所 有 单项 式 所 对 应 的 码 字 

(FER | f= 
构成 线性 码 RM(r,m) 在 fF, 上 的 一 组 基 , 因 此 RM(r,m) 的 维 数 为 


m m m Em 
elle [al 
由 引 理 10.1.3 可 知 ,RM(r,m) 的 极 小 距离 d 三 2 "。 易 知 f(x) 二 zx2…X, 的 
重量 是 2”", 因 此 ,所 对 应 的 了 ERM(r.m) 且 WH(f) 二 2”"', 所 以 ,d 王 2”"。 
定理 11.3.10 设 m 是 正 整 数 ,r 是 整数 且 0 三 rr 三 m 一 1, 则 RM(r,m)+ 一 
RM(m—r—1,m)., 
证 明 : 设 fERMrm),g EE RMOm 一 rr 一 1.10), 则 了 对 应 的 布尔 函数 与 g 对 
应 的 布尔 函数 g 的 乘积 fg 是 一 个 次 数 不 大 于 mm 一 1 的 mm 元 布尔 孙 数 ,于 是 由 引 
理 10.1.2 可 知 ,Wn(fg) 是 偶数 ,因此 ,f.g 一 2) f(oWgla) 一 Wn(fg) 二 0C(mod 2)。 


a€F?2 


这 表明 RM(r.m) 中 的 码 字 与 RMCm 一 rr 一 1.m) 中 的 码 子 均 正 交 。 所 以 RM 


(rom) 二 RMCm 一 r 一 1,m)。 又 由 定理 11.3.9 可 知 ,RM(r,m) 的 维 数 是 也 【”]， 


=o0\t 


RMGm 一 /一 1,m) 的 维 数 是 >， 人 .由 定理 11.2.3 可 知 ,RM (rsz)L 的 维 数 是 


2"— >) 的 而 由 组 合 论 知 识 可 知 , 袜 [ 


772 
t=0 t 


[= 2"。 所 以 RM (r,m)+ 的 
维 数 与 RM(m 一 rr 一 1.m) 的 维 数 相 等 .于 是 ,RM(r.m)+ 二 RM(m 一 rr 一 1,m)。 

例 11.3.4 RM(0,m) 二 {1(0,0,…,0),(1,1,…,1)) 忆 FF 就 是 一 个 长 为 n 二 2” 
的 二 元 重复 码 , 即 参数 为 [xz 一 2" .1:,2"] 的 线性 码 , 其 生成 矩阵 为 G 一 (1.1.… ,1)。 由 
定理 11. 3. 9 可 知 ,G= 王 (1,1,…:,1) 是 RM 一 1:,zz) 的 校 验 矩阵 , 即 

c 一 (ciycz，…:cn) E RMOn 一 1:.772) 当 且 仅 当 a 十 多 十 二 才 。 0 
这 表明 RM(m 一 1,m) 是 一 个 长 为 nn 的 二 元 奇偶 校 验 码 ,其 参数 为 Lz 一 2", 2" 一 1,2]。 


6 
证 信息 安全 中 的 数学 方法 与 技术 


11.4 一 些 典 型 的 译 码 方法 


一 般 而 言 :编码 是 比较 容易 实现 的 :难点 在 于 译 码 ,一 般 线 性 码 的 译 码 问题 都 是 一 
个 NP 完全 问题 。 编 码 理论 的 一 个 中 心 任务 就 是 设计 有 效 的 译 码 方法 。 译 码 方法 大 体 
上 可 以 分 为 两 类 : 一 类 是 可 用 于 任意 码 的 一 般 译 码 方法 ,如 11.4. 1 小节、11.4.2 人 小节 
和 11.4.3 小 节 介 绍 的 译 码 方法 ; 另 一 类 是 用 于 特定 的 码 或 码 类 的 专用 译 码 方法 ,如 
11.4.4 小节 和 11.4.5 小 节 介绍 的 译 码 方法 。 通 常 ,后 者 比 前 者 更 为 快捷 和 简便 。 值 得 一 
提 的 是 ,11.4.3 小 节 介 绍 的 校 验 子 (也 称 伴随 式 ) 译 码 方法 可 以 作为 衡量 其 他 译 码 方法 的 
标准 。 换 言 之 ,在 采用 一 种 新 的 译 码 方法 之 前 ,最 好 先 和 校 验 子 译 码 方法 进行 比较 。 


11.4.1 极 小 距离 译 码 


设 CSSA” 是 定义 11.1.2 中 所 定义 的 码 。 利 用 Hamming 距离 的 概念 ,可 以 按照 
以 下 方法 译 码 : 当 接收 者 接收 到 字 +, 首先 找到 码 字 x 使 得 dn (x,r) 尽 可 能 地 小 ,就 
将 r 译 为 x。 注 意 到 给 定 一 个 接收 到 的 字 r, 可 能 存在 多 于 一 个 的 有 效 码 字 与 + 的 
Hamming 距离 同样 小 。 在 这 种 情况 下 ,不 能 保证 完全 正确 地 纠 错 ,而 只 是 选取 其 中 
一 个 最 接近 的 码 字 。 这 种 译 码 方法 就 被 称 为 极 小 距离 译 码 。 


11.4.2 大 数 逻 辑 译 码 


大 数 逻 辑 译 码 方法 不 仅 是 纠 错 码 中 的 重要 译 码 方法 .可 用 于 很 多 线性 码 的 译 码 ， 
而 且 也 是 密码 分 析 尤 其 是 序列 密码 分 析 中 的 重要 工具 。 

定义 11.4.1 一 组 校 验 方程 x。，y” = 二 0(v 二 1,2,…,r) 关 于 位 置 i( 对 码 C， 
ym EC+) 被 称 为 是 正 交 的 ,如 果 : @y 人 ?二 1(v 二 1,2,…,7) ,yf? 表示 y” 的 第 i 个 分 
量 ; @ 若 j 关 i, 则 至 多 有 一 个 v 使 得 y 站 了 冯 0。 


现在 假定 x 是 一 个 包含 i 个 错误 的 接收 字 ,1 过 去, 则 有 


(1) 若 zi 是 正确 的 , 则 至 多 有 tt 个 v 使 得 x。y? 天 0; 

(2) 车 zx; 是 不 正确 的 , 则 至 少 有 rr 一 (1 一 1) 个 vv 使 得 x。，y'” 关 0。 

因为 > 一 (一 1) 二 上 所 以 可 以 通过 x .yc 的 多 数值 (0 或 不 是 0) 来 确定 x; 正确 
还 是 不 正确 。 在 二 元 码 的 情况 下 .我们 能 纠正 错误 。 如 果 对 每 个 i 有 这 样 的 正 交 校 
验 集 , 则 能 逐一 纠正 不 同位 置 的 错误 。 

例 11.4.1 考虑 [7,4] 二 元 Hamming 码 的 对 偶 码 。 下 列 3 个 校 验方 程 关 于 位 
置 1 是 正 交 的 : 


Xl 十 Xs 十 Xx3 二 0 
Xr 24 丰 xs 二 0 
i 


如 果 x 包含 1 个 错误 , 则 车 xz! 是 不 正确 的 , 则 3 个 校 验方 程 产生 3 个 1; 若 ri 是 正确 
的 , 则 3 个 校 验 方程 产生 2 个 0、1 个 1。 
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11.4.3 校 验 子 译 码 


假设 Alice 发 送 给 Bob 的 码 字 是 c,Bob 接收 到 的 字 是 >, 可 将 r 写 为 > 一 c 十 e, 其 
中 ee Fe 表示 传输 中 发 生 的 错误 , 称 e 为 错误 向 量 。Bob 知道 +, 现 在 的 问题 是 他 
如 何 找 出 e 的 值 。 显 然 只 要 能 找到 e 即 可 找到 c。 本 节 介 绍 一 种 找到 e 的 方法 。 

定义 11.4.2 设 CCFs: 是 一 个 线性 码 ,xzE FI 。 定 义 陪 集 x 十 C 为 

x 十 C 一 {xz 二 clceEcC 

关于 陪 集 , 可 用 定义 直接 证 明 下 述 结 论 。 

定理 11.4.1 令 CSF; 是 一 个 线性 码 , 则 

(1) 车 xEy 十 C, 则 x 十 C==y 十 C; 

(2) 对 每 一 对 x,yE FF ,或 者 x 十 C= 二 y 十 C 成 立 或 者 x 十 Cy 十 C= 二 名 成 立 。 

假定 数据 传输 过 程 中 发 生 的 错误 不 太 多 . 即 Wn(e) 较 小 ,Bob 计算 集合 x 十 C 中 
所 有 元 素 的 重量 ,具有 最 小 重量 的 元 素 若 唯 一 , 记 为 e。 

例 11.4.2 令 CSFS 定义 为 


C= {(0000),(1100),(0011),(1111)} 
若 x 二 (1010), 则 有 
x+C= {(1010),(0110),(1001),(0101)} 
现在 定义 一 个 字 的 校 验 子 (又 称 伴 随 式 ), 校 验 子 可 以 帮助 我 们 标识 线性 码 的 


障 集 。 
定义 11.4.3 车 CSF 是 一 个 参数 为 [n,k] 的 线性 码 ,H 是 C 的 一 个 校 验 矩 
阵 。 令 rE, 则 s 二 HrmTE Fs“ 称 为 r 的 校 验 子 , 也 称 为 r 的 伴随 式 。 
例 11.4.3 参数 为 [7,4j 的 二 元 Hamming 码 的 一 个 校 验 和 矩阵 是 
让 和 
-| | "| 
全 Ue EE 
则 C1110000) 的 校 验 子 为 


我 们 知道 ,rEC 当 且 仅 当 Hr" 一 0。 也 就 是 说 ,rEC 当 且 仅 当 它 的 校 验 子 是 0。 
由 此 可 以 看 出 ,Bob 可 以 用 一 个 更 好 的 方法 进行 纠 错 .他 可 以 不 用 拿 接收 到 的 字 r 与 
所 有 的 码 字 比较 ,而 是 直接 计算 它 的 校 验 子 . 校 验 子 为 0 当 且 仅 当 没有 错误 发 生 。 下 
面 将 用 校 验 子 的 概念 进行 纠 错 。 

可 以 把 Bob 接收 的 字 写 为 r 二 c 十 e, 其 中 c 是 Alice 发 送 的 码 字 。 显 然 ,r 与 e 有 
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相同 的 校 验 子 当 且 仅 当 Hr7= 二 He7, 当 且 仅 当 H(r 一 e)7 一 0, 当 且 仅 当 r 一 eEC。 但 
是 Bob 知道 r 一 e 一 cEC, 这 说 明 r 必须 与 e 有 相同 的 校 验 子 。 所 以 Bob 想 找 到 一 个 
具有 和 较 小 重量 的 字 7 使 得 r 与 e 有 相同 的 校 验 子 。 


关于 校 验 子 ,容易 证 明 下 述 结论 。 
定理 11.4.2 设 CSF; 是 一 个 线性 码 , 则 x,y€ Fs 有 相同 的 校 验 子 当 且 仅 当 
CC 


定理 11. 4. 2 说 明 ,两 个 字 有 相同 的 校 验 子 当 且 仅 当 它们 在 同一 个 陪 集中 ,而且 
由 定理 11. 4. 1 可知, 陪 集 基 于 校 验 子 把 集合 F; 分 解 为 互 不 相交 的 部 分 。 
如 果 Bob 知道 > 与 e 有 相同 的 校 验 子 , 那 么 他 也 知道 所 有 与 r+ 有 相同 的 校 验 子 
的 元 素 都 在 陪 集 r 十 C 中 。 所 以 他 观察 r 十 C 中 的 所 有 元 素 , 并 从 中 选取 具有 最 小 重 
量 的 e。 
定义 11.4.4 在 一 个 陪 集中 ,具有 最 小 重量 的 元 素 称 为 陪 集 首 项 。 
注意 : 对 一 个 特定 的 陪 集 而 言 , 陪 集 首 项 可 能 不 唯一 。 
可 以 把 校 验 子 译 码 算法 概述 如 下 。 
(1) Bob 接收 到 字 r。 
(2) 他 计算 ~ 的 校 验 子 s 一 再 r。 
(3) 车 s 二 0, 则 没有 错误 发 生 。 
(4) 车 s 取 0, 则 Bob 观察 所 有 元 素 都 有 校 验 子 s 的 陪 集 , 找 出 陪 集 首 项 并 假定 为 e。 
(5) 他 计算 c==r 一 e 进行 纠 错 。 
这 种 方法 的 优点 在 于 Bob 能 够 在 Alice 开始 发 送 消 息 之 前 计算 并 储存 一 个 校 验 
子 和 陪 集 首 项 的 表 , 则 当 他 收 到 消息 之 后 , 纠 错 是 很 快 的 。 
例 11.4.4 参数 为 [7,4] 的 二 元 Hamming 码 的 一 个 校 验 矩 阵 是 
民 和 
大 二 | 让 主 站 证, 泡 让 仙 
ls | 
如 果 Alice 和 Bob 约定 使 用 这 个 码 , 则 Bob 在 Alice 发 送 消息 之 前 计算 如 下 。 
校 验 子 陪 集 首 项 校 验 子 陪 集 首 项 
0 f° 
0 (O00 L 0 0 DO 


OOP~“OP~“O~“O OoD 
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假设 Bob 接收 到 + 二 (1011100) , 则 计算 r 的 校 验 子 得 到 s 一 Hr 二 


1 
Ols 
0 


1 
J 和 校 验 子 。 由 于 他 接收 到 的 字 为 (0000100)， 


wnt |, 
0 
他 知道 (1011100) 一 (0000100) 二 (1011000) 是 一 个 有 效 的 码 字 ,所 以 Bob 把 
(1011100) 纠 正 为 (1011000)。 


11.4.4 BCH 码 的 译 码 

设 C 是 定义 11.3.1 中 所 定义 的 BCH 码 . 则 C 的 设计 距离 为 6 二 2 十 1, 所 以 可 纠正 不 
大 于 :个 错误 , 设 c(z) 一 3 E C, 错 误 多 项 式 是 e(x) 一 Dar E€ FLzxJ, Wale(x)) 
过 zt. 定 义 错位 集 为 M= {ile 关 0,0 过 i 过 nn 一 1},!l =| M|= waceco) <i. 


译 码 的 目的 就 是 从 收 到 的 rCz) 二 cl) 十 c(z) 一 全 rer E 已 [计算 出 错位 集 
错 值 ciCi € M) .为 了 求 出 错位 集 M, 只 和 需求 出 a GE MD) .定义 错位 多 项 式 为 
caCz) 一 [ke 一 az)， dego(x)=/<t 
错 值 多 项 式 为 的 
wz) 一 oz) 之 1 2 = Zar I[ (一 cz) 


JEANI 
若 能 求 出 多 项 式 o(x) 和 w(x)， ed 200 放 史 十 机 入 CE 当 且 仅 当 o (a-T')==0)。 
然后 对 iE M 可 求 出 错 值 


ei =— wl(a i)a'i/o Ca) 
其 中 a (x) 表 示 多 项 式 cCz) 的 形式 微分 。 
因为 全 开 饼 eo ar) 一 2 ee 一 Dela)zi, 所 以 
—ar 一 1 j= 


当 二 入 六 时 5 由 clal) 一 0 可知 eC》 二 zal)。 而 这 些 el fe 2z) 可 由 收 


到 的 ~(z) 计算 出 来 ,因此 接收 者 知道 Sta 的 前 2t 个 系数 。 所 以 接收 者 知道 
wT) 


ee ym™mod E 
i Zz) 和 次 数 尽 可 能 小 的 多 项 式 o(x) ,使 得 degwlx) 三 
dego(z). 三 De mod xz’ 


也 
令 5 一 e(C)G 委 ij) 委 2,oCz) 一 [LI 一 xz) 一 >)ozioo 一 1 一 | MI, 则 
ziE RM i=0 


2¢ 
wry ox Dszi = 区 ( Dy sjo: )z” mod x! 
j=1 k “、 计 j 一 大 


0 
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因为 degw(z) 三 外, 所 以 
Dsjoi: =0, li+1l1<kZ2 


j=k 
由 此 给 出 了 关于 未 知 量 om ,os ,…,o 的 21 一 /个 方程 。 设 zCz) 一 六 air i(5o 一 1) 是 由 
上 述 方程 组 给 出 的 次 数 最 低 的 多 项 式 ,这 样 的 多 项 式 一 定 存 在 ， 因为 oCz) 即 是 。 所 
以 对 ! 十 1 二 三 2:, 有 


0 一 2sr2 一 一 Zr ea 一 Za), 
一 >' De a Dig, = De aay 


iEM jj jEM 
令 Xi=e0 (a™i) , 则 有 
Dasz; =0, li+1<kS2 


可 将 上 面 2t 一 /三 i 个 方程 视 作 一 个 关于 未 知 量 zi ,xs,… ,zi 的 方程 组 ,注意 到 由 前 / 
个 方程 组 成 的 方程 组 的 系数 矩阵 是 一 个 Vandermonde 矩阵 , 易 知 其 行列 式 不 为 零 ， 
所 以 刀 一 ze 一 … 一 飞 一 0, 即 已 一 e0(a 7 ) 一 0,1 委 ) 委 !/。 因 此 ,JEM 当 且 仅 当 
5(a-) 一 0。 由 cz) 的 定义 可 知 ,aCz)15(Cz)。 因 此 由 =(Cz) 的 极 小 性 可 知 ,c(Cz) 一 
ICZ)。 

现在 的 问题 是 接收 者 如 何 快 速 地 找到 cCz)? 由 上 述 讨 论 可 知 , 接 收 者 总 是 可 以 
通过 解 方程 组 来 找到 cCz) ,但 可 用 更 有 效 的 算法 一 一 Berlekamp-massey 算法 来 找到 
cz) 。 接 收 者 首先 计算 长 为 2t 的 序列 sj 二 r(ei) 二 el ) (1 三 j 三 27) ,也 称 校 验 子 或 伴 
随 式 。 其 次 利用 Berlekamp-massey 算法 找到 生成 该 序列 的 最 短 LFSR 的 连接 多 项 
式 54(z),6(z) 即 为 所 求 , 即 ol(x) 二 45(r)。 记 以 ol(x) 为 连接 多 项 式 的 LFSR 生成 的 
序列 为 {5;)1 ,其 中 s;) 二 r(@i) 二 el(@i)(1 志 j 寺 27)。 

综 上 所 述 ,BCH 码 的 译 码 算 法 可 以 描述 为 : 


7 一 1 
设 发 送 的 码 字 是 c(z) 一 a ciz' € C, 错 误 是 eC(x) 一 》) ez’ € F,[xj],WH(e(zx)) 壹 
i=0 i=0 


t, 收 到 的 字 是 r(x) Ey Sg E FLzxj。 

第 1 步 ,计算 校 验 子 sj; 二 rlai) ,1 二 j 二 21。 

第 2 步 . 求 oC(x) 和 w(x), 利 用 Berlekamp-massey 算法 找到 生成 序列 s; == r(ai) 
(1 过 7 三 27) 的 最 短 LFSR 的 连接 多 项 式 o(x),dego(x) = 二 1 过 1t, 记 {sj}1 是 以 olx) 


为 连接 多 项 式 的 LFSR 生成 的 序列 , 令 w(x) 一 a(x) 2 

第 3 步 , 求 错位 : 求 出 cCz) 的 全 部 根 : 即 a *% 0a ls & 一 1,2,…，!, 则 错位 
集 为 M=={i,is,…,i}。 

第 4 步 , 求 错 值 ,错位 i € M 处 的 错 值 是 e; = 一 wla i)a'/o of) ,于 是 eCz) 一 
>eiz', 则 正确 的 码 字 是 cr) =r(r)— el(r)。 


iE M 
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11.4.5 ”Goppa 码 的 译 码 


Goppa 码 可 用 类 似 于 11.4.4 小 节 所 介绍 的 方法 进行 译 码 ,下 面 来 讨论 这 个 问 
题 。 设 PCGL,g) 是 定义 11. 3. 3 中 所 定义 的 Goppa 码 。 令 ec 一 (clycz，…，cn)E 
PCL.g) ,假定 接收 者 收 到 的 字 是 r= 二 (ni ,rs,…,r,)。 错 误 向 量 为 e 二 (ei ,ez ,……,ev) 一 
r 一 c。 定 义 错位 集 为 M= {ile; 了 0},|M|==e=i/2,degg=t。 

定义 伴随 式 多 项 式 为 


SCz)= >) 一 竺 _mod g(x) 


i=1 TQi 


显然 伴随 式 多 项 式 SCz) 可 由 上 来 计算 ,这 是 因为 一生 ~ 二 0 mod g(x), 所 以 


SCz) = >) 一 人生 = 二 双生 >) -mod g(x) 


i=1 Ta i Ta i=l 父 
定义 错位 多 项 式 为 
oz)= [I (x—a) 
iEM 
定义 错 值 多 项 式 为 
w(x) 一 acCz) 2) 2 一 es 和 (wy 
iEMT Qi iEM jEM{i) 


显然 ,gcd(CcCz) ,w(x))=1,dego(7x)=e,degw(zx)—e, 
直接 可 验证 SCz)、cCz) 和 w(Cz) 之 间 有 以 下 关系 


n 


S(z)a(z) 三 D3 TI cz Qi) wz)mod g(x) CL. 1 


i=1 TT Qiiem 
现在 假定 有 一 个 算法 可 以 找到 次 数 最 低 的 首 1 非 零 多 项 式 m Cz) 和 次 数 最 低 的 
多 项 式 w(x) ,使 得 


SGCz)oCz)=oCr)mod g(r) Cl 2 
设 gcd(S(zx),g(z)) 二 d(x), 则 由 式 (11.1) 和 式 (11.2) 分 别 可 得 
S(xz)o(x)/d(x) wl(r)/d(r)mod g(x)/d(r) 
w(xX)/d(r) SS(r)o(r)/d(r)mod g(r)/d(r) 
将 上 面 两 式 左右 两 边 分 别 相 乘 并 移 项 整理 得 
SCr)/ad(r [or (zr) — aor)w(r))/d(r) =0 mod g(r)/d(zr) 
所 以 oD (zx) 一 m1 (xz)w(z) 寺 0 mod g(x), 由 于 此 式 的 左边 的 次 数 低 于 g(x) 的 次 
数 , 所 以 oC) (zx) 一 a1 (xX)w(X) 二 0, 又 gcd(o(z),w(Xx)) 二 1, 因 此 ,ol(zx) 是 ol(zx) 的 
因 式 ,w(z) 是 w(x) 的 因 式 ,所 以 必须 有 ox) 二 1 (7) w(x) 二 w(x)。 
由 此 可 见 , 只 要 能 找到 cCz) 和 w(x) 就 能 找到 e。 事 实 上 .Berlekamp-massey 算 
法 或 Euclid 算法 就 是 寻找 om Cz) 的 有 效 算 法 。 
综 上 所 述 ,Goppa 码 的 译 码 算法 可 以 描述 为 : 
设 发 送 的 码 字 是 c 二 (ci ,co,…,c,)ET(L,g), 错 误 是 e 一 (ei ,es ,…,e,), 接 收 者 
收 到 的 字 是 r= (ri ,rs，… ,rs) 二 c 十 e。 
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第 1 步 ,计算 伴随 式 多 项 式 SCz) 二 >) 一 “mod g(x) 一 Dsix™!。 


7 一 ai 


i=1 7 i=1 


第 2 步 , 求 cCz) 和 w(Cz) ,利用 Berlekamp-massey 算 法 找到 生成 序列 并 和 7 和 加 的 
最 短 LFSR 的 连接 多 项 式 cCz),degc(Cz) 一 e 一 ti/2. 记 1s)} 了 是 以 cCz) 为 连接 多 项 式 
的 LFSR 生成 的 序列 , 令 w(x) = oC(x) >) sz7。 


第 3 步 , 求 错位 , 求 出 cCz) 的 全 部 根 , 即 a ,0 和 zs 肥 2 一 1, 人 一 1,2,…,e 则 错位 集 
为 M={i is ,*… si}。 

第 4 步 , 求 错 值 ,错位 i€EM 处 的 错 值 是 6; 一 wlai)/o (ai), 于 是 e 二 (ei ,ez ,…,e,), 则 
正确 的 码 字 是 ec 一 r 一 e。 


11.5 应 用 举例 


纠 错 码 方法 与 技术 在 信息 安全 领域 有 着 广泛 而 深入 的 应 用 ,在 以 下 3 个 方面 取 
得 了 一 批 重要 成 果 。 一 是 将 纠 错 码 方法 与 技术 用 于 研究 密码 算法 和 安全 协议 的 组 件 
的 设计 和 分 析 ,通过 建立 纠 错 码 和 密码 学 中 的 一 些 概念 的 等 价 性 ,将 一 些 概念 联系 起 
来 ,如 Reed-Muller 码 的 覆盖 半径 与 布尔 函数 的 非 线 性 度 、 函 数 的 相关 免疫 阶 与 码 的 
对 偶 距 离 .P 置换 与 MDS 码 , 以 推动 两 个 学 科 的 交叉 研究 。 二 是 将 纠 错 码 方法 与 技 
术 用 于 研究 密码 算法 和 安全 协议 的 分 析 , 在 有 些 情况 下 . 密 文 序列 可 视 作 一 个 含 错 明 
文 序列 ,如 基于 LFSR 的 序列 密码 ,所 以 ,利用 纠 错 码 中 的 译 码 方法 和 技术 进行 密码 
分 析 是 很 自然 的 ,往往 也 是 很 有 效 的 。 三 是 将 纠 错 码 方法 与 技术 用 于 研究 密码 算法 
和 安全 协议 的 设计 ,包括 基于 纠 错 码 的 公 钥 加 密 算法 、 私 钥 加 密 算法 ,基于 纠 错 码 的 
数字 签名 方案 、 密 钥 管 理 协议 ,秘密 共享 协议 、 认 证 协议 等 。 限 于 篇 幅 , 这 里 只 简要 介 
绍 两 个 基本 的 应 用 。 


11.5.1 基于 纠 错 码 的 公 钥 加 密 算法 McEliece 密码 算法 


McEliece 密码 算法 是 McEliece 于 1978 年 提出 的 一 种 基于 纠 错 码 的 公 钥 加 密 算 
法 , 它 的 安全 性 是 基于 一 般 线 性 码 的 译 码 问题 .是 一 个 困难 性 问题 即 NP 完全 问题 。 
到 目前 为 止 ,仍然 认为 该 算法 是 安全 的 ,但 该 算法 存在 着 一 些 缺 陷 , 诸 如 公开 密 钥 庞 
大 ,数据 扩展 大 。McEliece 密码 算法 的 设计 思想 与 传统 的 Merkle-Hellman 密码 算 
法 的 设计 思想 相似 , 译 一 般 线 性 码 是 一 个 NP 完全 问题 .但 一 些 好 码 诸如 Goppa 码 
有 多 项 式 时 间 的 译 码 算法 。McEliece 的 策略 是 将 一 个 有 和 多项式 时 间 译 码 算法 的 
Goppa 码 伪 装 成 一 个 在 没有 辅助 信息 下 难 译 的 线性 码 。 

下 面 就 来 描述 McEliece 密码 算法 。 

设 G 是 一 个 参数 为 [n.k.d] 的 二 元 不 可 约 Goppa 码 的 生成 矩阵 ,n 一 2”,k 一 nn 一 
mt,d 王 2t 十 1。 设 明文 空间 为 本 , 密 文 空间 为 F3。 

密 钥 的 生成 过 程 如 下 : 

随机 地 选取 上 的 Xk 阶 可 逆 矩 阵 S 和 Xn 阶 置 换 矩 阵 P. 令 G' 二 SGP, 将 
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G、S 和 P 作为 私 钥 进行 保密 ,将 G' 作为 公 钥 公开 。 

加 密 过 程 如 下 : 

对 任意 一 个 明文 mE 下, 对 应 的 密 文 定义 为 c 二 mG 十 e, 这 里 eE 是 一 个 重量 
不 超过 + 的 随机 向 量 。 

解密 过 程 如 下 : 

收 方 收 到 一 个 密 文 c, 计 算 cP71 二 mSGPP 1 十 eP71 一 mSG 十 e' ,因为 P 是 一 个 轩 
换 矩 阵 , 所 以 e 与 < 有 相同 的 重量 。 利 用 Goppa 码 的 快速 译 码 算法 将 其 译 码 成 一 
mS , 密 文 c 对 应 的 明文 为 m 二 mS-!。 

在 该 算法 的 实际 的 实现 中 .McEliece 建议 选取 以 下 参数 :m 二 10,t 二 50, 此 时 nn 二 
2 二 1024,k 二 n 一 mt 二 524,d 二 101,Goppa 码 是 一 个 参数 为 [1024,524,101] 的 线性 
码 。 明 文 长 度 为 524bit, 密 文 长 度 为 1024bit。 公 钥 是 一 个 524 Xx 1024 阶 的 二 元 

McEliece 密码 算法 的 实现 过 程 中 主要 涉及 两 个 方面 的 内 容 , 一 是 关于 二 元 
Goppa 码 的 基本 性 质 ;二 是 Fom 上 的 t 次 不 可 约 多 项 式 的 选取 与 测试 。 关 于 第 一 个 问 
题 , 如 二 元 Goppa 码 的 码 长 2 一 2”, 维 数 A 三 2 一 zt ,最 小 距离 d 三 2t 十 1, 存 在 时 间 复 
杂 度 为 O(nt) 的 快速 纠 错 译 码 算法 ,已 在 11.4.5 小 节 做 了 介绍 ,也 可 参阅 文献 [1]。 


关于 第 二 个 问题 ,由 有 限 域 的 知识 可 知 ,Fa 上 的 + 次 不 可 约 多 项 式 有 0 ( 守 ) 个 ,这 


表明 ,对 给 定 的 m4, 用 随机 取 法 能 以 士 的 概率 获得 次 不 可 约 多 项 式 ,其 不 可 约 性 
有 快速 算法 加 以 测试 .参见 文献 [2]。 
11.5.2 基于 纠 错 码 的 数字 签名 方案 一 一 AW 数字 签名 方案 


AW 数字 签名 方案 是 Alabbadi 和 Wicker 于 1992 年 在 对 Xinmei 数字 签名 方案 
的 安全 性 分 析 的 基础 上 提出 的 一 个 改进 方案 .不 少 学 者 对 此 类 方案 进行 了 分 析 研 究 ， 
已 有 多 种 分 析 结 果 。 本 节 除 了 介绍 该 方案 之 外 .还 介绍 了 一 种 利用 求 和 矩阵 广义 逆 实 
现 伪 造 攻击 的 思想 ,证 明了 AW 数字 签名 方案 存在 严重 的 安全 漏洞 , 即 任何 人 仅 利 
用 签名 用 户 的 公 钥 就 可 以 构造 出 等 价 的 签名 私 钥 ,从 而 成 功 地 实现 伪造 签名 。 


1. AW 数字 签名 方案 

假定 通信 双方 是 用 户 A 和 用 户 B。 首 先 用 户 A 选择 一 个 非 线 性 函数 f (x,y): 
FXF3 一 了 FY 并 把 它 公 开 。 

用 户 A 选择 一 个 [n,k&,d 宇 2t 十 1] 二 元 Goppa 码 : 以 及 其 生成 矩阵 G 和 校 验 矩 阵 
HH。 和 矩阵 G* 满足 GG* 二 I,P 是 ,上 一 个 满 秩 的 nXn 阶 随机 和 矩 阵 ,W 是 一 个 秩 为 
n 的 nXLl 阶 矩阵 ,这 里 /二 nn, 和 矩阵 W’ 满足 WW* 一 六。 用 户 A 的 公 钥 为 (G ,五 ， 
W"* ,H,t), 其 中 G’ = 二 P71G* ,H’= 一 P71H7,t'<<t。A 保留 其 私 钥 G,P,G* ,W。 

产生 签名 的 过 程 如 下 : 

用 户 A 随机 地 选取 一 个 Hamming 重量 Wn (E) 三 t 的 向 量 EE FE 和 一 个 
Hamming 重量 Wa(E) 守 1/2 的 向 量 ZE Fs .对 消息 M 的 签名 是 一 个 长 度 为 1 的 二 元 
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序列 : 
C= {E+(fM,E)+EG*  )G)P 十 DIV }W+Z (11. 3) 
用 户 A 把 CM,C) 发 送 给 用 户 B。 
验证 签名 的 过 程 如 下 : 
当 用 户 B 接收 到 (M,C) 后 .首先 计算 
V=CW* = {(E+(fM,E) + EG* )OP+ ZW IWW’ 十 DZ 
={(E+(fM,E) + EG* )OP+ IW’ } + ZW 
=EP + (f(M,E) + EG* )GP 
这 里 用 到 了 WW"* = 二 I,。 然 后 利用 A 的 公 钥 H = 二 =P-'H" 计算 伴随 式 
VH’ = {EP+(f(M,E) + EG*)GP}PHT = EH 
因为 GH" 二 0, 从 而 利用 Berlekamp-Massey 算法 译 码 即 可 得 到 已 。 另 一 方面 
VG’ ={EP + (fM,E) + EG* )GP}P-G’* 
=EG* + /f/f(M,E)+EG* = f(M,E) C11.4 
用 户 B 使 用 收 到 的 消息 M 和 译 码 得 到 的 E 作为 输入 ,计算 函数 值 /(M.,E), 若 该 值 
与 式 (11. 4) 布 端的 计算 结果 相等 , 则 签名 有 效 ,否则 拒绝 该 签名 。 
2. AW 数字 签名 方案 的 一 种 攻击 方法 
注意 到 G.,P,G* 为 签名 用 户 A 的 私 钥 。 令 A 二 GP.B 二 PP 十 G* GP, 则 由 
式 (11. 3) 可 得 
C= {EB+/f(M.E)A+ZW" }W+Z 
所 以 可 以 把 (4,B,W) 作 为 AW 数字 签名 方案 的 签名 私 钥 ,而 利用 上 式 产 生 签 名 。 容 
易 验 证 它 满 足 WW * 二 I 以 及 


A(H’,G’) = (0,1,), BC(H’,G’) = (HT,0) Ch 
定理 11.5.1 如 果 一 组 矩阵 (A,B,W) 满 足 条 件 : 
Ww”* = A(H GY= (00), BH GY= (HH',0) 11,6) 


则 该 组 矩阵 可 作为 AW 数字 签名 方案 的 签名 私 钥 成 功 地 伪造 签名 。 
证 明 : 利用 (4A,B,W) 作 为 私 钥 来 构造 签名 。 随 机 地 选取 一 个 Hamming 重量 
Wa (E) 三 t 的 向 量 EE FE 和 一 个 Hamming 重量 Wa (2Z) 守 1/2 的 向 量 ZE FE。 对 任 
意 & 比特 长 的 消息 M 的 伪造 签名 是 长 度 为 ! 的 二 元 序列 : 
C= {EB+/MEA+ZW’ IW+Z 
用 户 B 接收 到 CM,C) 之 后 ,实施 以 下 步骤 验证 签名 。 首 先 计 算 
V =CwW* = {EB + fCM,E)A + ZW WWW’* + ZW* 
=EB + f(M.E)A 
然后 计算 伴随 式 .利用 式 (11. 6) 得 
VH’ = EBH’ + /f/f(M,E)AH’ = BET 
从 而 由 Berlekamp-Massey 算法 译 码 即 可 得 到 该 随机 向 量 EE FE 。 另 一 方面 ,再 次 利 
用 式 (11. 6) 得 
VG' = EBG’ 十 f(M.E)AG’ 一 f(M,E) 


W 


易 见 利用 M 和 译 码 得 到 的 E 作为 输入 计算 出 的 CM,E) 即 为 上 式 的 计算 结果 , 故 对 
消息 M 的 伪造 签名 (M,C) 有 效 。 

等 价 私 钥 (A,B,W) 的 构造 : 

由 于 到 满足 WW"* 二 了 , 故 由 公 钥 W’ 解 方 程 组 即 可 得 到 W( 取 任意 一 组 解 即 


I 
可 )。 设 K 一 CH ,CG ), 则 存在 满 秩 短 阵 R 和 0 使 得 RKO 一 (5 GE /为 矩阵 


FE: 
KK 的 秩 )。 取 K* 一 @| je 为 天 的 广义 逆 和 矩阵, 即 满足 KK* K 一 K. 令 


===", B= 0 
则 利用 式 (11. 5) 可 得 
A(H’,G') =AK = (0,IDK*"K = A(H’ ,G)EK’*EK 
=AKK*K = AK = (0,1,) 
B(H’,G’) =BK = (HT.0O)K*K=B(H'.,G)K*K 
=BKK* K = BK = (HY ,0) 
所 以 (A,B,W) 就 是 满足 式 (11.6) 的 一 组 矩阵 ,并 且 只 利用 签名 用 户 的 公 钥 信息 G'， 
H’,W* ,H 就 可 以 计算 出 (4 ,B,W)。 


11.6 注 记 


本 章 重 点 介绍 了 一 些 在 信息 安全 研究 中 常用 的 纠 错 码 方法 和 技术 ,同时 用 典型 
实例 阐述 了 纠 错 码 方法 和 技术 在 信息 安全 领域 中 的 应 用 。 纠 错 码 是 一 门 发 展 相 对 比 
较 成 熟 的 学 科 , 有 着 丰富 的 研究 成 果 和 广泛 的 应 用 。 有 很 多 纠 错 码 方面 的 著作 ,如 文 
献 [1] 一 [8J, 尤 其 是 文献 [1] 和 [2]j 是 非常 经 典 的 著作 ,从 事 这 一 领域 的 研究 工作 者 应 
该 认真 研读 。 关 于 纠 错 码 方法 和 技术 在 信息 安全 领域 中 的 应 用 文献 很 多 ,如 文 
献 L9] 一 [12]。 本 章 的 主要 目的 是 为 了 满足 纠 错 码 方法 和 技术 在 信息 安全 领域 中 的 应 
用 而 选材 的 ,所 以 纠 错 码 的 一 些 新 进展 ,如 代数 几何 码 、 量 子 纠 错 码 都 没有 涉及 , 感 兴 
趣 的 读者 可 参阅 文献 L6] 和 [8] 中 的 相关 章节 及 其 所 引用 的 一 些 参考 文献 。 纠 错 码 方 
面 的 一 些 最 新 进展 可 在 《IEEE on Information Theory》 上 找到 ,这 也 是 纠 错 码 研究 领 
域 的 顶级 刊物 。 
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第 12 章 图 论 方 法 与 技术 


图 论 是 建立 和 处 理 各 种 数学 模型 的 重要 工具 ,在 计算 机 科学 、 信 息 论 .控制 论 、 信 
息 安全 等 领域 有 着 广泛 的 应 用 。 图 论 的 研究 源 于 著名 的 哥 尼斯 堡 七 桥 问题 ,瑞士 数 
学 家 Euler 在 1736 年 解决 了 这 个 问题 ,发 表 了 图 论 的 首 篇 论文 “可 尼斯 堡 七 桥 问 题 
无 解 ”。 图 论 诞生 后 并 未 及 时 获得 足够 的 发 展 。 直 到 1936 年 ,匈牙利 数学 家 Konig 
出 版 了 图 论 的 第 一 部 专著 《有 限 图 与 无 限 图 理论 》, 这 是 图 论 发 展 史 上 的 一 个 重要 里 
程 碑 , 它 标志 着 图 论 进 入 突飞猛进 发 展 的 新 阶段 。 本 章 的 重点 是 介绍 一 些 在 信息 安 
全 研究 中 常用 的 图 论 方法 和 技术 ,包括 图 论 的 基本 概念 、 一 些 重要 的 图 .图 的 同 构 及 
典型 应 用 实例 。 


12.1 基本 概念 


本 节 介 绍 图 论 的 一 些 基 本 概念 。 
12.1.1 图 的 定义 和 示例 


定义 12.1.1 一 个 图 G 定 义 为 一 个 有 序 二 元 组 (V,E), 记 为 G 二 (V,E), 其 中 : 

(1)V= 二 {vi ,vs，…,v,} 是 一 个 有 限 非 空 集合 ,V 称 为 G 的 顶点 集 ,V 中 元 素 称 为 
G 的 顶点 ; 

(2) 玉 是 由 V 中 的 点 组 成 的 无 序 点 对 构成 的 集合 , 称 为 G 的 边 集 ,E 中 元 素 称 为 
G 的 边 , 且 同一 点 对 在 巨 中 可 出 现 多 次 。 

习惯 上 用 一 图 解 来 表示 图 , 正 是 因为 使 用 了 这 种 图 解 式 的 表示 法 ,图 具有 一 种 直 
观 的 外 形 。 例 如 ,Gi 二 (Vi,Ei) 的 图 解 如 图 12.1(a) 所 示 , 其 中 Vi 二 {vi ,vs ,vs,v4)， 
Ei={e@={visUi},es= {vir} ses 二 {vssv3) 3564 二 (vssvV3)} ,es 二 {v3;04}}。 如 果 两 条 
边 有 相同 的 项 点 , 则 称 它们 为 重 边 ,如 图 12.1(a) 中 的 es 和 e 所 示 。 如 果 一 条 边 的 
两 个 端点 相同 , 则 称 为 环 ,如 图 12.1(a) 中 的 e 所 示 。 包 含 重 边 的 图 称 为 多 重 图 ,如 
图 12.1(b) 所 示 。 不 包含 环 和 重 边 的 图 称 为 简单 图 .如 图 12.1(c) 所 示 。 


{a) {b}) (ec) 
图 12.1 图 解 
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设 G 二 (V,E),V 是 一 个 有 限 非 空 集合 ,E 是 V 中 任意 元 素 的 有 序 二 元 对 ,那么 
称 G 为 有 向 图 。 相 对 于 有 向 图 ,前面 的 图 称 为 无 向 图 。 类 似 地 ,可 以 定义 有 向 多 重 
图 、 有 向 简单 图 。 一 个 含有 个 顶点 ,m 条 边 的 图 也 称 为 (n,m) 图 ,其 中 (nn,0) 图 称 为 
空 图 ,(1.0) 图 称 为 平凡 图 。 

例 12.1.1 图 12.2 所 示 是 一 个 (4,6) 有 向 图 ;图 12. 3(a) 所 示 是 一 个 (5,7) 无 向 
图 ;图 12. 3(b) 所 示 是 一 个 空 图 ;图 12. 3(c) 所 示 是 一 个 平凡 图 。 


〇 © 
Le [© O 
oO 
(a) {b) (©) 
图 12.2 有 向 图 图 12.3 无 向 图 和 空 图 及 平凡 图 


一 般 情况 下 ,车 没有 特殊 声明 ,所 谓 的 “图 ” 均 指 无 向 简单 图 。 
12.1.2 完全 图 和 正则 图 


在 图 G 中 .顶点 和 顶点 v 之 间 如 果 有 一 个 边 e 二 人 u,v), 则 称 w 和 w 是 邻接 顶 
点 ,也 称 边 。 关 联 于 w 和 w。 没 有 边关 联 的 顶点 称 为 孤 立 点 。 关 联 于 公共 顶点 的 相 
异 边 称 为 邻接 边 。 


例 12.1.2 图 12.1(a) 中 vw 和 ws、vs 和 zs 分别 是 邻接 顶点 ; 边 es 一 {uyvuz)} 关 
联 于 点 mm 和 mm , 边 es 二 {vo，,v3) 关 联 于 点 w 和 vs, 因此 e。 和 es 是 邻接 边 。 

定义 12.1.2 ”如果 图 G 中 任意 两 个 不 同 顶 点 都 是 邻接 顶点 , 则 称 图 G 是 完全 
图 。7n 个 顶点 的 完全 图 记 为 K，。 

定义 12.1.3 由 图 G 的 所 有 顶点 和 那些 为 了 使 G 成 为 完全 图 而 需要 添加 的 边 
组 成 的 图 称 为 G 的 补 图 , 记 为 G。 

例 12.1.3 图 12.4 中 ,图 12.4(a) 所 示 是 5 个 顶点 的 完全 图 Ks ,图 12. 4(b) 和 
(0) 互 为 补 图 。 


(a) (b) (0) 
图 12.4 例 12.1.3 用 图 


定义 12.1.4 在 图 G 中 ,与 顶点 v 相 关联 的 边 的 数目 称 为 项 点 v 的 度 , 记 为 d(v)。 
在 有 向 图 中 ,顶点 v; 和 wj; 分 别称 为 边 e 二 {vi,vj}) 的 始点 和 终点 。 以 顶点 wv 为 始 
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点 的 边 的 数目 称 为 v 的 出 度 , 以 顶点 wv 为 终点 的 边 的 数目 称 为 v 的 入 度 ,v 的 入 度 和 
出 度 之 和 称 为 项 点 v 的 度 , 记 为 d(v)。 

例 12.1.4 图 12.5Ca) 中 ,dl(vi)= 二 3,d(vs) 二 3,d(v3) 二 2,d(w)=2,d(vs)=0。 
图 12.5(b) 中 ,du) 一 5,u 的 入 度 为 2, 出 度 为 3;d (ws) 二 4,vs 的 和信 度 为 2, 出 度 为 
2;d(vs) 二 3,vs 的 人 度 为 0, 出 度 为 3;d(w) 二 4,v 的 入 度 为 3, 出 度 为 1;d (vs) 二 2， 
vs 的 人 度 为 2, 出 度 为 0。 

由 于 每 条 边关 联 于 两 个 顶点 , 易 见 ,一 个 图 的 所 有 顶点 的 度 的 总 和 等 于 边 数 的 
2 倍 , 即 有 以 下 定理 。 

定理 12.1.1 设 G==(V,E) 是 一 个 (n,m) 图 ,其 中 V={vi ;vo,… ,vs), 则 


Sa = 2m 


定义 12.1.5 一 个 无 向 图 G, 如 果 它 的 所 有 顶点 的 度 都 为 , 则 称 图 G 是 一 个 
大 正则 图 。 
图 12.6 所 示 就 是 一 个 有 6 个 顶点 的 3 正则 图 。 


vl Ov 


图 12.5 例 12.1.4 用 图 图 12.6 有 6 个 顶点 的 3 正则 图 


12.1.3” 汉 图 


正如 集合 有 子 集 的 概念 一 样 ,图 也 可 相应 地 定义 子 图 。 

定义 12.1.6 设 G=(V,E) 和 G=(V,E) 是 两 个 图 ,有 : 

(1) 如 果 VEV .ESE, 则 称 G 是 G 的 子 图 ; 

(2) 如 果 VEV,ECE, 则 称 G 是 G 的 真子 图 ; 

(3) 如 果 G 是 G 的 子 图 , 且 V=V. 则 称 G 是 G 的 生成 子 图 ; 

(4) 如 果 G 是 G 的 子 图 , 且 E 由 EE 中 所 有 关联 于 V 中 顶点 的 边 组 成 . 即 巨 一 
{ele 二 (u,v)EE,uvEV), 则 称 G 是 G 的 由 V 导 出 的 子 图 , 记 为 GLVJ, 简 称 为 G 的 


导出 子 图 。 导 出 子 图 GL[V\VJ 记 为 G-V. 它 是 G 中 删除 V 中 的 顶点 以 及 与 这 些 顶 点 
相关 联 的 边 所 得 到 的 子 图 。 

显然 , 任 一 图 G 都 是 本 身 的 子 图 。 在 图 12.7 中 ,图 12.7(b)、(c) 都 是 图 12.7(a) 
的 真子 图 ,而 且 图 12.7(b) 是 图 12.7(a) 的 生成 子 图 ,图 12.7(c) 是 图 12.7(a) 的 导出 
子 图 。 
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(a) (b) {c) 
12.7 任 一 图 G 都 是 本 身 的 子 图 


12.2 路 与 图 的 连通 性 


图 的 最 基本 性 质 是 它 的 连通 性 。 

定义 12.2.1 图 G 的 一 条 通路 是 指 一 个 有 限 非 空 序列 ww 二 voe1viesvs"…erve;: 它 
的 项 交替 地 为 顶点 和 边 ,使 得 对 1 三 i 三 k,ei 关联 于 wii 和 wv;。 顶 点 zw 和 vi 分 别称 
为 ww 的 起 点 和 终点 ,整数 k 称 为 w 的 长 。 在 简单 图 中 ,通路 可 简单 地 由 其 顶点 序列 
来 表示 , 即 ww 二 vovi vo vk。 

由 定义 12. 2. 1 可 知 ,通路 上 的 顶点 和 边 均 允许 重复 出 现 。 在 通路 w= 
voe1viezv2"…ervk 中 ,如 果 起 点 w 与 终点 v 相同 , 则 称 此 通路 为 回路 ;如 果 起 点 w 与 
终点 vi 不 同 , 则 称 此 通路 为 开路 。 如 果 通 路 上 的 各 边 e1 ,es,… ,ex 互 不 相同 , 则 称 此 
通路 为 简单 通路 。 如 果 通 路 上 的 顶点 wwm:,…':'ux 互 不 相同 , 则 称 此 通路 为 基本 通 
路 。 如 果 回 路 上 的 各 边 互 不 相同 , 则 称 此 回路 为 简单 回路 。 如 果 回 路 上 的 顶点 除 
um 一 从 之 外 互 不 相同 , 则 称 此 回路 为 基本 回路 。 

例 12.2.1 图 12.8 中 ,mvzwvsvu 是 从 mm 到 vw 的 简单 通路 ,但 不 是 基本 通 
路 , 它 的 长 度 为 5;ususvrus 既是 简单 回路 又 是 基 me。 
本 回路 , 它 的 长 度 为 3;uzuvuavsvususuwvs 是 简单 
回路 ,但 不 是 基本 回路 , 它 的 长 度 为 7。 

定义 12.2.2 设 u 和 w 是 图 G 的 两 个 顶 忆 
点 ,从 到 vw 的 最 短 通路 的 长 度 称 为 x 和 w 之 间 
的 距离 ,用 d (u,v) 表 示 ; 如果 w 和 w 是 不 连通 
的 , 则 记 <(Cx,v) 一 ce 。 

根据 上 面 的 定义 ,对 图 G 中 的 任意 连通 的 3 个 顶点 u、v、w, 它 们 之 间 的 距离 满 
足下 面 的 三 角 不 等 式 


2 ve 


[有 
Us wy 


12.8 例 12.2.1 用 图 


d(u,v) + d(v,w) > d(u,w) 
定理 12.2.1 设 图 G 的 顶点 集 为 V 二 {vo，…,v,), 则 对 图 中 任意 连通 的 两 个 
顶点 v; 和 wj(vi 隆 vj) ,它们 之 间 的 距离 一 定 不 大 于 nn 一 1。 
证 明 : 设 R 为 从 wv; 到 vw; 的 一 条 路 ,有 是 
R= VVE Va Di Dy 
若 尺 中 存在 两 个 相同 的 顶点 wu 一 由 , 则 ww， … 吕 可 以 从 RR 中 删 去 ,得 到 一 条 较 
短 的 路 R' 二 vivs 加 oo 二。 如 果 在 尺 ' 中 还 存在 相同 的 顶点 , 则 可 以 重复 上 
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面 的 操作 来 得 到 更 短 的 路 。 容 易 看 出 ,从 v; 到 w; 的 最 短路 中 肯定 不 会 存在 相同 的 
顶点 。 设 vi 到 wj 的 距离 为 &, 则 最 短路 中 顶点 个 数 为 k 十 1, 因 此 有 十 1 三 n, 即 4 去 
n 一 1, 定 理 得 证 。 

定义 12.2.3 ”如果 图 G 二 (V,E) 中 存在 着 从 顶点 v; 到 顶点 wv; 的 通路 , 则 称 vw; 
和 是 连通 的 。 如 果 图 G 中 任意 两 个 顶点 都 是 连通 的 , 则 称 图 G 为 连通 图 ;否则 称 
为 非 连通 图 。 

由 定义 12.2. 3 可知, 连通 是 顶点 集 V 上 的 一 个 等 价 关系 (满足 自 反 性 、 对 称 性 
和 传递 性 ) ,于 是 可 将 V 划分 成 等 价 类 Vi,V，,….Vi。 这 样 ,两 个 顶点 和 w 是 连通 
的 当 且 仅 当 它们 属于 同一 子 集  。 子 图 GLV ],GLV:],…:,GLV] 称 为 G 的 连通 分 支 ， 
简称 分 支 , 其 个 数 常 记 为 ro(G) , 即 凤 (G) 一 上 A。 显 然 , 若 G 是 连通 的 . 则 zw(G) 一 1。 

例 12.2.2 图 12.9 所 示 是 一 个 非 连通 图 ,而 图 12. 10 所 示 是 一 个 连通 图 。 


图 12.9 非 连通 图 12.10 连通 图 


定义 12.2.4 若 在 图 G 中 去 掉 一 条 边 e 后 ,图 的 分 支 数 增加 , 则 称 此 边 e 为 图 G 
的 割 边 。 

定义 12.2.5 若 在 图 G 中 去 掉 一 个 顶点 w 和 与 v 关联 的 所 有 边 后 ,图 的 分 支 数 
增加 , 则 称 顶 点 wv 为 图 G 的 割 点 。 

例 12.2.3 图 12. 10 中 , 边 {v3,w}) 是 割 边 , 顶 点 v3、vs 都 是 割 点 。 


12.3 图 的 矩阵 表示 


一 个 图 的 矩阵 表示 不 仅仅 是 给 出 图 的 一 种 表示 方法 ,重要 的 是 通过 对 和 矩阵 的 讨 
论 ,可 以 得 到 有 关 图 的 很 多 性 质 。 此 外 ,在 图 论 的 应 用 中 ,图 的 矩阵 表示 也 具有 重要 
的 作用 ,可 以 提高 计算 机 对 图 的 处 理 能 力 。 

定义 12.3.1 设 G==(V,E) 是 一 个 图 ,其 中 V={vi,vs,…,v,), 令 
1 {vv} EE 
', {v0} FE 
则 )” 阶 矩阵 4 一 (ap ) 称 为 图 G 的 邻接 矩阵 。 

定义 12.3.2 设 G==(V,E) 是 一 个 图 ,其 中 V={vi,v,*** ,vn) ,EE 二 {el,es， 


2 1 vw; 和 e; 关联 
3 b vi 和 ej 不 相关 联 
则 和 矩阵 中 一 (25 )。xw 称 为 图 G 的 关联 矩阵 。 
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例 12.3.1 图 12.11 所 示 对 应 的 邻接 矩阵 和 关联 矩 ma Ov 
阵 分 别 为 
VU Ta Vs Us el ez es e4 6e5 es 
FO 1 ww Fl 1 O00 1 
这 = | 人 和 全 二 x 1 1 0 | tO Dw 
ws ll LE 0 1 vs|10 0 1 1 1 
| | 图 12.11 例 12.3.1 用 图 
wl OO 1 0 ww ti-0 0 1 
显然 ,无 向 图 的 邻接 矩阵 和 关联 矩阵 有 以 下 性 质 : 邻接 矩阵 一 定 是 对 称 矩 阵 ; 对 
简单 图 来 说 ,其 邻接 矩阵 的 主 对 角 线 元 素 必 然 全 为 0; 顶点 vi 的 度 是 邻接 矩阵 (关联 


和 矩阵) 第 i 行 元素 中 1 的 个 数 ; 关 联 矩 阵 每 列 中 1 的 个 数 恰 为 2, 因 为 与 每 条 边关 联 的 
顶点 数 恰 为 两 个 。 一 般 来 说 ,图 的 邻接 矩阵 比 关联 矩阵 小 得 多 。 

定理 12.3.1 设 图 G=(V,E),V 一 (uv,…,u)} ,4 一 (ah) 是 G 的 邻接 矩阵 ， 
则 4 一 1,2,…) 中 第 ; 行 第 7 列 元 素 o 等 于 w 和 wj 之 间 长 度 为 ! 的 通路 的 数目 。 

证 明 : 设 A‘ 二 (a5), 用 归纳 法 证 明 。 

当 /二 1 时 ,根据 邻接 矩阵 的 定义 ,结论 成 立 。 

假设 当 ! 一 &A 时 .结论 成 立 , 即 w 和 wj 之 间 长 度 为 & 的 通路 的 数目 为 ao。 由 和 矩阵 
乘法 的 定义 ,矩阵 44 中 的 元 素 a$! 是 A* 的 第 i 行 向 量 和 A 的 第 j 列 向 量 的 点 积 , 即 
< 人 二 > akay ,其 中 a 是 从 v; 和 wvw, 之 间 的 长 为 k 的 路 的 数目 ,如果 ay = 1, 则 atas 
表示 从 vw; 和 w; 之 间 的 长 度 为 k 十 1. 且 vw; 前 一 个 顶点 为 v, 的 路 的 数目 , 当 s 从 1 遍历 
到 nn 时 ,考虑 了 所 有 wv 和 w; 之 间 的 长 度 为 k 十 1 的 路 ,因此 当 1 一 &A 十 1 时 结论 也 成 立 。 

综 上 所 述 ,结论 成 立 .证 毕 。 

邻接 矩阵 可 用 于 判断 图 的 连通 性 。 进 一 步 ,有 以 下 定理 。 

定理 12.3.2 设 图 G=(V,E),V 一 {uv…u) ,4 是 G 的 邻接 矩阵 , 则 G 是 
连通 的 当 且 仅 当 CT 十 4) 一 :二 0, 其 中 工 是 ” 阶 单位 矩阵 。 

证 明 : 假设 (TI 十 4) 呈 :二 0 ,由 于 

(十 4) 呈 一 T 十 CA 十 C3 4 十 …… 十 4 一 

所 以 对 任何 和 7 天) ,1 生生 2 存在 1 有/ 委 "一 1, 使 四 盖 0, 这 里 败 是 4 中 第 
i 行 第 7 列 元 素 。 即 v; 和 之 间 存 在 通路 .所 以 G 是 连通 的 。 

反之 .假设 G 是 连通 的 , 则 任意 两 个 不 同 的 顶点 w 和 wj 之 间 必 存在 通路 .于 是 ， 


必 存 在 1 二 /去 nz 一 1, 满 足 几 之 0, 从 而 4: 中 第 ; 行 第 ) 列 元 素 大 于 0. 故 (I 二 A)" 
二 0。 定理 得 证 。 


12.4 Euler 图 与 Hamilton 


本 节 讨 论 两 种 典型 的 图 一 一 Euler 图 与 Hamilton 图 。 
1736 年 ,瑞士 数学 家 Euler 在 解决 哥 尼 斯 堡 七 桥 问 题 时 形成 了 Euler 图 的 概念 。 
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下 面 给 出 有 关 定 义 及 定理 。 

定义 12.4.1 无 向 图 G 中 的 回路 a, 车 G 中 的 每 条 边 都 在 a 中 出 现 一 次 且 仅 一 
次 , 则 称 a 为 Euler 回路 。 具 有 Euler 回路 的 图 称 为 Euler 图 。 

例 12.4.1 图 12.12(a) 所 示 不 是 一 个 Euler 图 ,而 图 12. 12(b) 所 示 则 是 一 个 
Euler 图 。 显 然 ,Euler 图 肯定 是 连通 图 。 如 何 判 断 一 个 连通 图 是 否 为 Euler 图 ,有 以 
下 定理 。 


(a) (b) 
12.12 Euler 图 与 非 Euler 


定理 12.4.1 无 向 连通 图 G==(V.,E) 是 Euler 图 当 且 仅 当 G 的 所 有 顶点 的 度 都 
是 偶数 。 

证 明 : 若 连通 图 G 是 一 个 Euler 图 , 设 它 的 一 条 Euler 回路 为 a。 因 为 G 的 每 条 
边 在 a 中 出 现 且 仅 出 现 一 次 , 故 a 必 通过 G 的 每 个 顶点 。 当 a 通过 某 顶 点 时 ,进去 一 
次 出 来 一 次 ,此 顶点 的 度 就 增加 2, 从 而 每 个 顶点 的 度 都 是 偶数 。 

反之 ,假设 连通 图 G 的 项 点 的 度数 都 是 偶数 ,用 归纳 法 证 明 G 是 Euler 图 。 

当 边 数 |E| 二 0 时 ,由 于 G 连通 ,G 只 包含 一 个 顶点 .Euler 回路 由 此 顶点 构成 。 

假设 当 |E|==& 时 ,结论 成 立 。 考 虑 |E|==& 十 1 的 情况 ,从 图 G 中 的 任意 一 点 
a 出 发 ,经 过 每 条 边 最 多 一 次 , 沿 着 一 条 路 一 直 走 下 去 ,对 路 上 的 顶点 v 关 a, 由 于 wv 的 
度 为 偶数 ,因此 总 是 可 以 从 vv 中 出 来 ,直到 最 后 回 到 a, 记 这 边 回 路 为 C。 如 果 C 经 
过 了 图 G 的 所 有 的 顶点 ,那么 它 就 是 图 G 的 一 条 Euler 回路 。 和 否则 ,从 图 G 中 去 掉 
C 经 过 的 边 ,得 到 一 个 新 的 图 G = 二 Hi ,万 ,…, Hi ;其 中 Hi ,Hs,… ,Hi 为 图 G' 的 分 
支 。 因 为 图 G 的 顶点 度数 仍 为 偶数 ,所 以 这 些 分 支 的 顶点 度数 也 为 偶数 ,但 它们 的 
边 数 小 于 十 1, 因 此 它们 都 存在 各 自 的 Euler 回路 ,分别 记 为 Cl .Cs ,… :Ce。 图 G 为 
一 连通 图 ,所 以 Ci ,Cs,…,C 分 别 与 C 至 少 存在 着 一 个 公共 顶点 ,通过 这 些 顶 点 可 
以 将 Ci ,Cs,… ,Cs 都 加 到 C 上 ,形成 一 条 新 的 Euler 回路 , 它 经 过 了 图 G 的 所 有 边 。 
即 当 |E|==k 十 1 时 ,结论 也 成 立 , 证 毕 。 

例 12.4.2 哥 尼 斯 堡 七 桥 问题 如 图 12. 13 所 示 。 普 雷 格 尔 河流 经 哥 尼斯 保 城 ， 
把 哥 尼 斯 堡 城 分 成 4 个 城区 .人们 在 河上 架设 7 座 桥 以 方便 市 民 在 城区 之 间 穿 行 。 
图 12. 13(a) 给 出 了 哥 尼 斯 堡 城 的 一 个 地 图 ,图 中 标 出 了 4 个 城区 (A,B,.C,D) 河 以 及 7 
座 桥 的 位 置 。 哥 尼斯 堡 七 桥 问题 是 : 能 否 从 一 点 出 发 , 走 遍 7 座 桥 , 且 通过 每 座 桥 恰好 
一 次 ,最 后 仍 回 到 起 始 地 点 。 该 问题 可 用 图 12. 13(b) 所 示 来 表述 。 根 据 定理 12. 4. 1， 
由 于 图 中 所 有 顶点 度数 均 为 奇数 , 故 不 是 Euler 图 ,从 而 哥 尼斯 堡 七 桥 问题 无 解 。 

定义 12.4.2 对 于 一 个 连通 图 G, 含 有 G 的 每 条 边 恰 一 次 的 开路 称 为 图 G 的 
Euler 路 。 
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(a) 
12.13 哥 尼 斯 堡 七 桥 问题 


在 定理 12.4.1 的 帮助 下 ,可 以 轻松 地 刻画 含有 Euler 路 的 图 。 

推论 12.4.1 一 个 连通 图 G 含有 一 条 Euler 路 当 且 仅 当 G 恰 有 两 个 度 为 奇数 
的 顶点 。 而 且 ,G 的 每 一 条 Euler 路 始 于 一 个 度 为 奇数 的 顶点 而 终止 于 另 一 个 度 为 
奇数 的 顶点 。 

证 明 : 首先 讨论 必要 性 。 假 设 G 含有 一 条 Euler 路 工 。 因 此 工 是 某 两 个 互 异 顶 
点 v; 和 wj 之 间 的 一 条 通路 , 即 丁 二 vw;,… .wv;。 现 在 由 G 通过 添加 一 个 新 的 度 为 2 的 
顶点 且 分 别 连接 w 到 ww 和 ww, 从 而 构造 成 一 个 新 的 连通 图 G 。 则 T’ 二 vi,*… ,vj， 
usv; 是 G' 的 一 条 Euler 回路 。 根 据 定理 12. 4.1,G 中 每 个 顶点 的 度 均 为 偶数 ,所 以 
在 G 中 只 有 ww 和 的 度 为 奇数 。 

用 类 似 的 方法 讨论 充分 性 。 假 设 连通 图 G 恰好 有 两 个 度 为 奇数 的 顶点 w 各。 
添加 一 个 新 的 度 为 2 的 项 点 到 G 上 .并 分 别 连 接 w 到 zw 和 wj, 记 所 得 到 的 新 图 为 
G’。 因 此 G' 是 一 个 每 个 顶点 度 均 为 偶数 的 连通 图 。 根 据 定理 12.4.1,G' 是 一 个 含有 
Euler 回路 C 的 Euler 图 , 则 C 一定 经 过 vw; 和 w;。 由 于 的 邻接 顶点 只 有 wv 和 wj， 
则 从 C 中 删除 顶点 ,得 到 一 条 从 vi (或 vj;) 出 发 而 终止 于 wj (或 wv) 的 Euler 路 。 
证 毕 。 

Euler 图 研究 的 是 边 的 遍历 问题 ,下面 就 来 讨论 顶点 的 遍历 问题 。 

定义 12.4.3 无 向 图 G 中 经 过 所 有 顶点 一 次 的 回路 称 为 Hamilton 回路 ,含有 
Hamilton 回路 的 图 称 为 Hamilton 图 。 类 似 地 ,经 过 所 有 顶点 恰 一 次 的 开路 称 为 
Hamilton 路 。 

Hamilton 图 的 概念 是 爱尔兰 数学 家 Hamilton 于 1859 年 引入 的 ,他 用 正 十 二 面 


体 的 20 个 顶点 代表 20 个 城市 ,要 求 从 一 个 城市 出 发 ,经 过 每 个 城市 恰好 一 次 ,然后 
回 到 出 发 城市 。 图 12. 14 所 示 是 一 个 正 十 二 面体 的 展开 图 ,按照 图 中 的 顶点 编号 所 


构成 的 回路 ,就 是 Hamilton 回路 的 一 个 解 。 

与 Euler 图 不 同 ,到 目前 为 止 沿 没有 找到 判别 一 个 图 是 否 是 Hamilton 图 的 有 效 
充 要 条 件 。 这 是 图 论 中 未 解决 的 重要 难题 之 一 。 

定理 12.4.2 若 图 G=(V.E) 为 Hamilton 图 . 则 对 V 的 每 个 非 空 子 集 S 均 有 

w(G—S) <IS| 

证 明 : 设 C 一 zuvz…zunoo 为 图 G 的 Hamilton 回路 .车 删 去 v;, 则 CC 一 {vi}) 为 一 
条 开路 ,所 以 w(C 一 {vi)) 二 1。 易 见 , 对 于 C 一 S, 随 着 S 增加 一 个 顶点 ,w(C 一 S) 最 
多 增加 1, 通 过 归纳 可 知 ,w(C 一 S) 三 |S|。 
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图 12.14 Hamilton 


另外 ,C 一 S 为 G 一 S 的 生成 子 图 ,因此 w(G 一 S) 三 w(C 一 S), 所 以 
w(G— Ss) <IS| 
定理 12.4.2 是 判断 Hamilton 图 的 必要 条 件 , 可 以 用 来 排除 一 些 图 为 Hamilton 
图 的 可 能 。 根 据 定理 ,如 果 w(G 一 S) 三 |S| ,那么 图 G 肯定 不 是 Hamilton 图 。 
例 12.4.3 图 12.15 中 ,左边 的 图 满足 w(G 一 S) 三 |S|, 它 不 是 Hamilton 图 ; 
右边 的 图 满足 w(G 一 S) 三 |S| ,但 它 也 不 是 Hamilton 图 。 


PR 


12.15 非 Hamilton 


定理 12.4.3 (n,m) 图 G 二 (V,E) 为 n 三 3 的 图 ,如 果 对 于 G 的 每 对 不 邻接 的 顶 
点 ursv 都 有 d(v) 十 d(w) 三 n, 则 G 为 Hamilton 图 。 

证 明 : 用 反 证 法 证 明 。 假 设 存在 一 个 n 三 3 的 非 Hamilton 图 G. 使 得 对 于 G 的 
每 对 不 邻接 的 顶点 u,v, 均 有 d(v) 十 d(ww) 三 n。 对 图 G 做 以 下 处 理 , 在 保证 所 得 的 新 
图 是 非 Hamilton 图 的 前 提 下 .向 G 中 添加 边 直 到 不 能 再 添加 为 止 , 得 到 的 新 图 记 为 
瓦 。 对 于 互 中 每 对 不 邻接 的 顶点 uv, 一定 有 d(v) 十 d (wu) 宇 n。 

因为 五 不 是 完全 图 ,所 以 末 含有 不 邻接 的 顶点 对 。 设 z+ 和 yy 是 万 的 不 邻接 的 
顶点 对 。 显 然 ,图 及 十 {x,y) 是 一 个 Hamilton 图 , 且 互 十 (zyy} 的 每 个 Hamilton 回 
路 必 包 含 边 {x,y}。 也 就 是 说 ,在 互 中 存在 一 个 从 工 到 > 的 Hamilton 路 , 记 为 x 一 
zy svn 二 y。 可 以 得 到 : 如 果 zu 是 五 的 一 条 边 , 其 中 2 三 i 二 nn, 则 wy 不 是 
五 的 一 条 边 ;否则 ,zuyur, yu …, 工 是 五 的 Hamilton 回路 ,这 是 不 
可 能 的 。 因 此 ,对 于 {vz ,vs,…,v,}) 中 的 每 个 与 xz 邻接 的 顶点 ,在 {vi yu :ui) 中 
都 有 一 个 顶点 与 y 不 邻接 。 即 4d(y) 三 (xn 一 1) 一 d(x), 故 


a6 


信息 安全 中 的 数学 方法 与 技术 


zy) 十 CCz) < 去 7 一 1 

与 假设 矛盾 。 定 理 得 证 。 

定理 12.4.4 设 u 和 w 是 图 G 一 (V,E) 的 两 个 不 邻接 的 项 点, 并且 满足 dG) 十 
d(v) 宇 |V|, 则 图 G 是 Hamilton 图 的 充 要 条 件 是 G 十 {u,v} 是 Hamilton 图 。 

证 明 : 必要 性 是 显然 的 。 下 面 证 明 充 分 性 。 

反 证 法 。 假 设 G 十 {u,v} 是 Hamilton 图 ,wu 和 w 是 图 G 的 两 个 不 邻接 的 顶点 ,但 
G 不 是 Hamilton 图 。 那么 推出 G 十 {u,v} 的 每 个 Hamilton 回路 都 必须 含有 边 
{u,v)。 因 此 ,G 含有 一 条 和 w 之 间 的 Hamilton 路 。 因 为 4(w) 十 d(v) 宇 |V|, 由 定 
理 12. 4.3 的 证 明知 .G 含有 一 个 Hamilton 回路 ,导致 子 盾 。 
进一步 可 以 引入 图 的 闭 包 的 定义 。 

定义 12.4.4 图 G 二 (V,E) 的 闭 包 G. 是 指 按 以 下 操作 所 获得 的 图 : 由 G 出 发 
递归 地 连接 度 和 至 少 为 |V | 的 不 邻接 顶点 对 ,每 一 步 都 是 针对 前 一 步 所 获得 的 图 , 直 
到 没有 这 样 的 项 点 对 为 止 。 

例 12.4.4 图 12.16 所 示 说 明了 图 G 的 闭 包 的 构造 过 程 。 


vs Ca 


Ve 


(a) (b) 
图 12.16 例 12.4.4 用 图 


{qd) 


重复 应 用 定理 12. 4.4, 可 以 得 到 下 面 结 果 。 
定理 12.4.5 图 G 是 Hamilton 图 当 且 仅 当 它 的 闭 包 Ge. 是 Hamilton 图 。 


12.5 树 


树 是 图 论 中 的 一 种 简单 而 重要 的 图 , 它 的 应 用 非常 广泛 。 本 节 将 讨论 树 的 一 些 
基本 人 性质。 

定义 12.5.1 不 含 回 路 的 无 向 连通 图 称 为 无 向 树 , 简 称 树 ,常用 全 表示。 连通 
分 支 数 大 于 1, 且 每 个 连通 分 支 都 是 树 的 无 向 图 称 为 森林 。 树 中 的 边 称 为 树枝 . 树 中 
度 为 1 的 顶点 称 为 树叶 。 

例 12.5.1 如 图 12.17 所 示 ,3 棵 包含 4 个 顶点 的 树 。 这 些 树 的 任意 一 种 组 合 
均 为 一 个 森林 。 


人 个 


图 12.17 例 12.5.1 用 图 
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树 有 许多 等 价 的 定义 ,在 下 面 的 定理 中 列 出 了 其 中 的 5 个 等 价 命题 。 

定理 12.5.1 设 无 向 图 G==(V.,E) 是 一 个 (x,m) 图 , 则 下 列 命 题 等 价 : 

(1) G 是 树 ; 

(2) G 中 任意 两 项 点 间 有 且 仅 有 一 条 路 相连 ; 

(3) G 是 连通 的 , 且 和 一 2 一 1; 

(4) G 无 回路 ,是 区 一 n 一 1; 

(5) G 无 回路 ,但 在 G 中 任意 不 相 邻 两 顶点 间 增 加 一 条 边 , 就 得 到 唯一 一 个 
回路 。 

证 明 : (1) 一 (2): 反 证 法 证 明 。 图 G 为 树 ,由 于 连通 性 ,任意 两 顶点 之 间 必 有 路 
相连 。 假 设 u、v 间 存 在 着 两 条 路 a 和 B8, 其 中 wx 一 waiaz…av:B 一 xp 0 。 令 & 是 
使 ct+i 天 0 成 立 的 最 小 整数 。 由 于 c\8 最 后 的 顶点 都 是 v, 因 此 一 定 存在 两 个 i， 
j 二 k 使 得 ai; 一 与 :那么 ararti…aibj-1…ar 为 图 G 的 一 个 回路 ,与 G 为 树 相 矛盾 。 

(2) 一 (3): 由 于 图 G 中 任意 两 顶点 之 间 有 路 相连 ,所 以 G 是 连通 的 。 对 顶点 数 
7 进行 归纳 ,证 明 mm 二 nn 一 1。 

当 2 一 1,2 时 ,结论 显然 成 立 。 

假设 当 nn 三 k(k 三 2) 时 ,结论 都 成 立 。 当 nn 二 =k 十 1 时 ,从 G 中 随便 去 掉 一 条 边 , 由 


(2) ,去 掉 该 边 后 ,G 得 到 两 个 连通 分 支 G! 和 Gs。 设 G 和 Gs 的 顶点 数 分 别 为 n， 和 
7 , 边 数 分 别 为 mr 和 wa 。 由 归纳 假设 : 
7721 ni ls a nz 1 


那么 区 十 mz = 二 而 十 ns 一 2, 又 2= 二 区 十 rz 十 1 Rn 二 贡 十 nz ,所 以 mw; 二 nn 一 1。 

(3) 一 (4): 只 须 证 明 G 无 回路 。 反 证 法 证 明 。 假 设 G 中 存在 一 长 度 为 & 的 回路 
C, 则 C 上 & 个 顶点 和 A& 条 边 。 对 于 ”一 上 个 不 在 C 上 的 每 个 顶点 wv;, 必 有 一 条 关联 
于 它 的 边 ei, 且 ei 在 连接 wv; 与 C 上 顶点 的 最 短 通路 上 ,这 种 边 每 条 都 不 相同 ,因此 
7 三 2 有 去 掉 回 路 中 的 一 条 边 ,使 图 的 顶点 数 与 连通 性 不 变 。 导 出 矛盾 。 

(4) 一 (5): 先 证 明 G 是 连通 的 。 设 G 有 A 个 分 支 , 由 (4),G 中 无 回路 , 故 每 个 分 
支 是 一 棵 树 。 设 这 和 & 棵 树 分 别 是 G.G :Ge :上 且 G 有 7 个 顶点 ,7 条 边 .1 三 i 三 
& ,从 而 m2; 二 nn; 一 1, 于 是 ,mx 二 垃 十 nz 十 … 十 ni 一 k= 二 n 一 &k。 由 (4) 得 出 上 = 二 1。 因 此 
G 是 连通 的 ,于 是 G 是 连通 而 无 回路 的 图 ,(1) 成 立 , 从 而 (2) 成 立 。 

设 w 和 w 是 G 中 不 邻接 的 两 个 顶点 ,由 (2) ,wu 和 w 之 间 存 在 一 条 通路 尸 ,路 己 和 
边 {u,v}) 构 成 图 G 十 {uv) 的 一 个 回路 。 因 为 G 中 无 回路 ,所 以 G 十 {u,v} 的 任何 一 个 
回路 含有 边 {u.v)。 于 是 G 十 {u,v} 中 车 有 两 个 不 同 的 回路 ,可 得 到 G 中 和 w 之 间 
的 两 条 不 同 的 通路 ,与 (2) 矛 盾 。 

(5) 二 (1): 若 G 不 连通 . 则 存在 顶点 和 w. 使 得 G 十 {u.v} 中 不 含 回路 ,这 与 (5) 
矛盾 。 因 此 G 是 连通 的 无 回路 的 图 .从 而 (1)7 成 立 。 

定理 12.5.2 具有 两 个 及 以 上 顶点 的 树 至 少 有 两 片 树叶 。 

证 明 : 假设 (zz 加 ) 图 G 为 树 . 且 2 三 2:G 的 所 有 顶点 的 度数 之 和 为 S, 则 有 S 一 
27 ,又 罗 一 2 一 1, 所 以 S 一 22 一 2。 

如 果 G 中 只 有 一 顶点 为 树叶 . 即 其 他 7 一 1 个 顶点 的 度数 都 不 小 于 2,S 三 
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2(2 一 1) 十 1 六 2 一 2, 与 S 一 22 一 2 矛盾。 因此 G 中 至 少 有 两 片 树 叶 。 证 毕 。 
定义 12.5.2 车 Te 是 无 向 图 G 的 生成 子 图 而 且 又 是 树 , 则 称 Te 是 图 G 的 生 


成 树 。 
例 12.5.2 在 图 12.18 中 ,图 T 和 图 T: 是 图 G 的 两 个 不 同 生成 树 。 
C O CO 一 
le, O O 


12.18 例 12.5.2 用 图 


定理 12.5.3 每 个 连通 图 G 至 少 包 含 一 棵 生成 树 。 

构造 生成 树 的 最 简单 方法 是 破 圈 法 。 

破 圈 法 ” 设 G 是 一 连通 图 ,在 图 G 中 任 取 一 个 回路 ,去 掉 该 回路 上 一 条 边 , 所 得 
图 仍 为 连通 图 ,这 样 进行 下 去 ,最 终 可 得 到 一 个 无 回路 连通 生成 子 图 , 即 得 到 G 的 一 
棵 生成 树 。 

破 圈 法 实际 上 已 给 出 定理 12. 5. 3 的 一 个 证 明 。 不 难 发 现 , 一 个 连通 图 的 生成 树 
一 般 不 是 唯一 的 ,除非 G 本身 是 树 。 

定义 12.5.3 设 G 是 一 连通 图 .对 它 的 每 条 边 e 都 分 配 一 个 数值 ,该 数值 称 为 
边 的 权 值 , 记 为 w(e)。 图 G 称 为 赋 权 图 。 

定义 12.5.4 设 G 是 一 赋 权 图 ,G 的 生成 树 所 有 树枝 上 权 的 总 和 , 称 为 生成 树 
的 权 。 权 值 最 小 的 生成 树 称 为 G 的 最 小 生成 树 。 

许多 实际 问题 常常 化 为 求 赋 权 图 中 的 最 小 生成 树 问题 。 最 小 生成 树 问 题 的 求解 
方法 很 多 ,其 中 最 为 著名 的 一 个 算法 是 由 Kruskal 提出 来 的 。 

Kruskal 算法 ”对 于 一 个 (n,m) 连 通 赋 权 图 G, G 的 最 小 生成 树 Te 按 下 述 方法 
构造 : 首先 将 G 中 不 是 自 回路 的 边 按 权 值 递增 的 顺序 排列 成 L 二 ail,as,，…,ai(t 三 
72)。 取 e 一 aa; 在 工 中 剩 下 的 边 中 按 顺 序 选 择 边 .使 其 不 与 前 面 所 选 的 边 构成 回路 ， 
作为 工 的 第 二 条 边 e* 。 这 样 的 过 程 继 续 下 去 ,直至 找 出 边 el ,es，… ,es-1 构 成 G 的 一 
棵 生成 树 Te 。 

定理 12.5.4 对 于 一 个 (n,m) 连 通 赋 权 图 G.Kruskal 算法 构成 的 生成 树 是 
G 的 最 小 生成 树 。 

证 明 : 反 证 法 证 明 。 假 设 T 是 G 的 最 小 生成 树 。 树 TT’ 的 边 集 E' 二 {e1 ,es， 
…,e’} ,假设 是 使 得 f (es) 关 f (eh) 的 最 小 整数 ,也 就 是 说 f (el)== 了 (ei),…， 
fle1)=f el). 

将 ex 添加 到 T' 的 边 集 中 , 则 TT' 一 定 会 出 现 一 个 包含 e 的 圈 。 由 于 工 为 树 , 因 
此 这 个 圈 中 存在 一 条 边 e; 针 E,。 然 后 从 TT" 中 去 掉 边 e' 得 到 一 棵 新 的 树 T 二 TT 十 
er 一 el。 又 T' 为 最 小 生成 树 , 所 以 f(T") 三 f(T’), 即 

fle)— fle')=0 
但 是 根据 es 的 选取 原则 有 (es) 一 f(e)) 三 0, 所 以 有 Fes) 王 Fe)。 因 此 工 也 是 最 
小 生成 树 。 
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例 12.5.3 图 12.19 演示 了 如 何 应 用 Kruskal 算 法 构造 连通 赋 权 图 的 一 个 最 小 
生成 树 。 
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图 12.19 用 Kruskal 算法 构造 最 小 生成 树 


无 向 树 的 很 多 性 质 都 可 以 推广 到 有 向 树 中 。 

定义 12.5.5 一 个 有 向 图 G 在 不 考虑 弧 的 方向 时 如 果 是 一 棵 树 , 则 称 G 为 有 向 
树 。 

定义 12.5.6 如 果 有 向 树 有 一 个 人 度 为 0 的 顶点 ,而 其 他 所 有 顶点 的 入 度 都 为 
1, 则 称 此 有 向 树 为 根 树 。 入 度 为 0 的 项 点 称 为 树 根 , 出 度 为 0 的 顶点 称 为 树叶 , 树 根 


和 树叶 以 外 的 顶点 称 为 分 支 项 点 。 一 个 顶点 的 级 是 从 树 根 到 该 项 点 的 通路 的 长 度 。 
例 12.5.4 如 图 12. 20 所 示 . 图 12.20(a) 和 (b) 表 示 的 是 同一 棵 根 树 , 其 中 vi、 
vs 和 vs 是 1 级 顶点 ,vs、vs 和 we 是 2 级 顶点 。 
wm ba) 
ka tw LA za Tw a 
Us Us 上 vs Ts Ua 


(a) (b) 
12.20 例 12.5.4 用 图 


定义 12.5.7 如 果 在 有 向 树 中 规定 了 每 一 级 上 顶点 的 顺序 , 则 这 样 的 树 称 为 有 
序 树 。 
图 12. 20 所 示 的 (a) 和 (b) 虽 然 是 同一 棵 有 向 树 , 但 却 是 两 棵 不 同 的 有 序 树 。 

一 棵 根 树 可 看 成 一 个 家 族 树 。 如 果 从 wv; 到 有 一 条 边 ,那么 称 v; 为 v; 的 父 
亲 ,vj 为 v; 的 儿子 ;如 果 从 vi 到 v; 有 一 条 有 向 路 ,那么 称 wv; 为 v; 的 祖先 ,vj 为 v; 的 
子孙 ;如 果 wm 和 vw; 有 相同 的 父亲 ,那么 称 和 w; 为 兄弟 。 

定义 12.5.8 本 为 一 棵 根 树 , 如 果 工 的 每 个 顶点 的 出 度 都 不 大 于 mm, 则 称 工 为 
m 元 树 。 如 果 工 的 每 个 项 点 的 出 度 都 等 于 wm 或 者 0, 则 称 工 为 完全 m 元 树 。 

在 m 元 树 中 ,应 有 最 广泛 的 是 二 元 有 序 树 。 这 是 由 于 二 元 有 序 树 在 计算 机 中 易 
于 处 理 , 而 且 任 何 有 序 树 或 者 森林 都 可 以 转化 成 二 元 树 表 示 。 在 二 元 树 的 应 用 中 . 常 
常 需要 遍 访 树 的 每 一 个 节点 :也 就 是 二 元 有 序 树 的 遍历 问题 。 通 常 有 3 种 方法 : 先 
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序 遍 历法 、 中 序 遍 历法 和 后 序 遍 历法 。 

先 序 遍历 法 ” 先 访问 二 元 有 序 树 的 树 根 w ;如果 v。 有 左 儿 子 , 则 以 先 序 遍历 法 
遍 访 vo 的 左 子 树 (以 vo 的 左 儿 子 为 根 的 子 树 ); 如 果 v。 有 布 儿 子 , 则 以 先 序 遍 历法 
遍 访 vo 的 右 子 树 ( 以 vo 的 右 儿 子 为 根 的 子 树 ) 。 

中 序 遍 历法 ”如 果 二 元 有 序 树 的 树 根 v。 有 左 儿 子 , 则 以 中 序 遍 历法 人 遍 访 vo 的 
左 子 树 ;访问 二 元 有 序 树 的 树 根 vo ;如 果树 根 w 有 右 儿 子 , 则 以 中 序 遍 历法 遍 访 vo 


的 右 子 树 。 
后 序 遍 历法 ”如果 二 元 有 序 树 的 树 根 rw。 有 左 儿 子 , 则 以 后 序 遍 历法 遍 访 zw 的 
左 子 树 ;如 果树 根 w 有 右 儿 子 , 则 以 后 序 遍 历法 遍 访 w 的 a 


右 子 树 ;访问 二 元 有 序 树 的 树 根 w 。 
例 12.5.5 对 图 12. 21 所 示 二 元 有 序 树 的 遍历 结果 
如 下 : 


(1) 先 序 遍历 法 : aCb(Ccde) 了/) (igh) 人 
(2) 中 序 遍 历法 :((dce)bf)a(gih) 12.21 例 12.5.5 用 图 
(3) 后 序 遍 历法 : ((dec) 4) (ghiDa 
定理 12.5.5 二 元 树 工 有 ?ze 个 树叶 ,>s 个 出 度 为 2 的 顶点 , 则 ns 二 no 一 1。 
证 明 : 设 出 度 为 1 的 顶点 数 为 w, 则 械 的 项 点 数 才 二 m0 十 mm 十 ns。 
又 工 的 边 数 x 二 n 一 1,m 二 27z 十 ,那么 2nz 十 二 2 十 十 m0 一 1, 即 

ns 二 no 一 1 
推论 12.5.1 完全 二 元 树 工 有 7 个 顶点 ,no 个 树叶 , 则 n= 二 2no 一 1。 
证 明 : 设 出 度 为 2 的 顶点 数 为 zz , 则 2 一 2 十 zxo。 由 定理 12. 5.5 可 知 ,nz 二 no 一 


1, 所 以 n= 二 2no 一 1。 
12.6 图 的 同 构 


图 的 同 构 是 图 论 中 非常 重要 的 一 个 问题 , 它 在 信息 安全 、 图 像 \、 网 络 结构 分 析 等 
领域 中 都 有 着 广泛 的 应 用 。 两 个 图 之 间 的 关系 称 为 同 构 ,直观 上 的 理解 就 是 两 个 图 
有 着 相同 的 形状 ,或 者 说 两 个 图 的 顶点 通过 重新 标号 而 形成 相同 的 图 。 

例 12.6.1 在 图 12. 22 中 ,图 12. 22(b) 通 过 重新 放置 顶点 ,可 以 被 重 画 为 
图 12. 22(c) .因此 图 12. 22(a)、(b) 的 区 别 仅 仅 在 于 它们 顶点 的 标号 方式 与 图 的 夯 
法 ,也 就 是 说 ,它们 有 相同 的 结构 。 


ul U2 U2 
wh » 人 2 wy 


| wi Xa Wa zh J 


(a) (b) (©) 
图 12.22 例 12.6.1 用 图 
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定义 12.6.1 两 个 图 G 二 (V.,E) 和 0G 二 (V ,E') 称 为 是 同 构 的 (isomorphic), 如 
果 存 在 一 个 双 射 /:V 一 V' ,使 得 : {u,v} EE 当 且 仅 当 {f(w),f(v)}EE’。 也 称 G' 同 
构 于 G , 记 为 G' 伍 G。 

例 12.6.2 图 12. 22 中 ,存在 映射 F:V 一 WwW, 其 中 Fa ) 一 te (vi) 二 ws， 
(wD) 二 yz ;f(z1) 二 v2,f(y1) 一 x2。 因 此 图 12. 22(a) 和 图 12. 22(b) 是 同 构 的 。 然 
而 ,图 12.23 中 的 两 个 图 的 形状 很 相似 :但 它们 不 是 同 构 的 。 


12.23 不 同 构 树 


定义 12.6.2 若 图 G 和 它 的 补 图 G 是 同 构 的 , 则 称 图 G 为 自 补 图 。 

根据 同 构 的 定义 , 若 两 个 图 同 构 , 则 一 定 有 : 它们 有 相同 的 项 点 数 ;有 相同 的 边 
数 ;对 应 的 顶点 的 度数 相同 。 对 于 一 个 矩阵 4, 将 它 进行 以 下 变换 ,第 i 行 和 第 j 行 
交换 ,然后 第 i 列 和 第 j 列 交 换 , 这 样 的 变换 称 为 4 的 一 次 对 称 变换 。12. 3 节 中 讲 


到 过 图 的 矩阵 表示 .它们 是 计算 机 处 理 图 的 基础 ,其 中 的 邻接 和 矩阵 可 以 用 来 很 好 地 判 
断 两 个 图 之 间 的 同 构 关系 。 
例 12.6.3 和 矩阵 的 一 次 对 称 变换 表示 如 下 : 
i wi, en i 
Qi a ay an a oo ay a ean 
ana EE aw 中 a i ee dn Gm Cm 


定理 12.6.1 图 G1 二 (Vi,E1) 和 图 G: 一 (V: .Es) 同 构 的 充 要 条 件 是 G 对 应 的 
邻接 抢 阵 A1 可 以 通过 有 限 次 的 对 称 变换 得 到 Gs 对 应 的 邻接 矩阵 A, 。 

证 明 : 必要 性 。 假 设 两 个 图 G! 和 Gs 同 构 ,V， 和 Vs 间 存 在 一 个 双 射 /:Vw 一 
Vs。 记 全 一 (uv V 一 (rr rz) , 则 对 VvVocEVv 都 有 Cu) 一 
twj(i,jE[1,nj)。 对 Ai 做 以 下 系列 变换 ,将 每 个 vi(iE[1,nj) 对 应 的 行 换 到 rw 对 应 
的 行 ( 假 定 是 第 & 行 ), 然 后 将 v; 对 应 的 列 换 到 第 kk 列 , 最 终 使 得 Ai 的 顶点 顺序 与 
A 的 顶点 顺序 相 一 致 。 

根据 同 构 的 定义 ,G! 和 Gs 对 应 的 顶点 的 邻接 情况 完全 相同 :也 就 是 说 经 过 系列 
变换 后 的 A! 和 A, 的 对 应 行列 是 相同 的 ,因此 变换 后 的 A! 和 A, 完全 相等 。 上 面 对 
4; 做 的 变换 就 是 一 系列 的 对 称 变换 , 即 A1 通过 有 限 次 的 对 称 变换 可 得 到 4，。 

充分 性 。 假 设 图 Gi 的 邻接 矩阵 A1 经 过 有 限 次 的 对 称 变换 后 可 得 到 图 Gs 的 邻 
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接 矩 阵 4 。 记 一 {u yu Vi 一 人 wr sw ,ws)。 对 于 VYvi;EVi,vi 车 对 应 
变换 后 矩阵 的 第 7 行 ,那么 就 记 f(vi) 一 w;。 而 且 这 种 对 应 关系 是 唯一 的 ,因此 ff: 
Vi 阅 V: 是 一 个 双 射 。 

对 于 Vivie,v} EEi, 令 Fu) 一 zus) 一 zy 由 于 A 中 vw 行 v, 列 对 应 的 项 
为 1, 根据 对 称 变 换 , 那 么 在 4, 中 第 p 行 第 g 列 对 应 的 项 也 应 该 为 1, 即 {fCv)， 
Jf(v,)}EE2。. 同 理 , 若 V{visv} 儿 El, 则 {fCv) ,fv))} EE。 即 {vi,v,)EE, 当 且 仅 
当 {7FCo) ,Fo EE2。 因 此 G 和 G: 是 同 构 的 。 证 毕 。 

根据 定理 12. 6.1 可 以 很 自然 地 得 到 下 面 判 断 自 补 图 的 定理 。 

定理 12.6.2 一 个 图 G 为 自 补 图 的 充 要 条 件 是 G 的 邻接 矩阵 4 通过 有 限 次 的 
对 称 变 换 得 到 G 的 邻接 矩阵 4 。 

图 同 构 是 作用 在 图 集合 上 的 一 个 等 价 关 系 ,因此 可 以 把 图 集合 划分 成 一 些 等 价 
类 ( 子 集 ) , 称 之 为 同 构 类 (isomorphism class) 。 属 于 同一 个 同 构 类 的 任意 两 个 图 是 同 
构 的 ,属于 不 同 同 构 类 的 任意 两 个 图 是 不 同 构 的 。 

判断 两 个 图 是 否 同 构 的 问题 称 为 图 同 构 问 题 。 除 了 图 同 构 本 身 在 实践 中 的 重要 
性 , 它 在 计算 复杂 性 理论 中 也 有 着 重要 的 研究 价值 , 它 属 于 NP 问题 ,但 是 无 法 判断 
其 属于 了 问题 或 NP 完全 问题 ,这 样 的 问题 在 NP 中 占 的 比例 比较 少 。 有 些 学 者 提 
出 了 GI (Graph Isomorphism) 问 题 类 .来 表示 那些 可 以 在 多 项 时 间 内 归 约 到 图 同 构 
判定 的 问题 。 


12.7 应 用 举例 


图 论 方法 与 技术 在 信息 安全 领域 有 着 广泛 而 深入 的 应 用 ,本 节 将 重点 介绍 图 同 
构 问 题 在 构建 零 知识 证 明 系 统 中 的 应 用 以 及 三 染色 问题 在 计算 复杂 性 中 的 应 用 。 


12.7.1 基于 同 构图 的 零 知识 证 明 系 统 


零 知识 证 明 系 统 在 现代 密码 学 中 处 于 核心 位 置 , 并 且 是 定义 和 证 明 各 种 密码 方 
案 安全 性 的 广 为 接 受 的 方法 。 简 单 地 说 , 零 知 识 证 明 系 统 允 许 证 明 者 向 验证 者 证 实 
一 个 论断 ,但 是 却 不 泄露 任何 (验证 者 在 多 项 式 时 间 内 计算 得 不 到 的 ) 知 识 。 下 面 给 
出 同 构图 的 完备 零 知 识 证 明 的 具体 构造 。 
算法 12.7.1 同 构图 的 完备 零 知 识 证 明 
。 公共 输入 : 两 个 图 Gi 二 (Vi,Ei) 和 Gs 一 (V:,E:)。 
。 假设 证 明 者 PP 知道 GI 和 Gs 同 构 , 令 $ 是 Gi 到 Gs 的 同 构 映射 , 即 $: 
W 一 V 是 双 射 , 且 {u,v}EEl 当 且 仅 当 {8(u),$(v)}EE,。 
。 下 面 的 步骤 将 使 验证 者 V 相信 P 忆 的 知识 。 
(1) 证 明 者 己 随 机 置换 Gs 产生 另 一 个 同 构 图 太一 (Vs, 下 ), 其 中 FF 二 {Cx 
(4W) ,AX(vV)):(usv)EE:)},x 是 Gs 到 及 的 同 构 映 射 。 PP 将 图 及 发 给 验 
证 者 V( 注 : 因为 PP 知 道 Gs。 和 有 同 构 , 她 也 就 知道 G1 和 有 同 构 。 但 
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对 其 他 人 来 说 ,发 现 G 和 囊 或 Gs 和 囊 之 间 同 构 与 发 现 G 和 Gs 之 
间 同 构 一 样 困难 ) 。 

(2) 接收 到 证 明 者 书 发 送 的 图 吾 , 验 证 者 V 均 匀 选 取 cE{ ,然后 将 
发 给 证 明 者 ,让 它 给 出 五 和 G。 间 的 同 构 映射 。 

(3) 车 证 明 者 尸 从 们 收 到 的 c 一 2, 则 尸 将 基 发 送 给 Vi 否则 , 己 发 送 
rp rp lv)—=rx ($v)))。 

(4) 车 验证 者 V 从 PP 接收 到 的 消息 y 是 G' 和 G, 间 的 同 构 映 射 , 则 V 输出 
1( 接 受 输入 ); 否 则 输出 0( 拒 绝 输 入 )。 

(5) PP 和 V 重复 第 (1) 到 (4) 步 n 次。 


上 述 构 造 算法 具有 以 下 3 个 属性 : 
(1) 完备 性 。 假 设 证 明 者 已 是 诚实 的 参与 者 ,严格 按照 上 述 步骤 执行 ,验证 者 V 
总 会 接受 输入 ; 
(2) 有 效 性 。 这 个 构造 每 运行 一 轮 ， P 都 有 证 的 概率 猿 中 验证 者 V 在 第 (2) 步 中 
会 要 求 她 执行 哪 一 个 证 明 , 从 而 对 V 进行 欺骗 ， Ce 去 行 n 轮 后 ,P 成 功 欺骗 的 概率 
L 
是 六 
(3) 零 知 识 性 。 证 明 者 PP 在 每 一 轮 构 造 中 都 产生 一 个 新 图 及 ,运行 n 轮 后 , 验 
证 者 V 仅 得 到 图 Gi 或 Gz 的 一 些 随机 同 构 副本 ,没有 得 到 任何 有 用 的 信息 以 帮助 他 
了 解 G 和 Gs 之 间 的 同 构 性 。 
把 满足 上 述 3 个 属性 的 算法 或 协议 称 为 一 个 完备 的 交互 零 知识 证 明 系 统 。 因 
此 ,可 证 明 以 下 定理 。 
定理 12.7.1 算法 12.7.1 构造 出 一 完备 的 交互 零 知识 证 明 系 统 。 


12.7.2 三 染色 问题 及 其 应 用 


图 论 在 计算 复杂 性 中 也 有 着 很 好 的 应 用 。 在 关于 NP 完全 问题 (NP-Complete， 
简称 ep set hi 识 ;图 论 中 也 有 许多 问题 都 是 属于 
NPC 的 ,三 染色 问题 就 是 其 中 的 一 

定义 12.7.1 对 于 简单 图 i 3 种 颜色 对 G 的 顶点 染色 ,使 得 任意 
两 个 相 邻 顶点 具有 的 颜色 不 同 , 则 称 图 G 是 可 三 染色 的 。 

定理 12.7.2 三 染色 问题 属于 NPC 问题 。 

证 明 : 由 于 NAESAT 是 已 知 的 NPC 问题 ,只 需 构 造 一 个 从 NAESAT 到 三 染 
色 问 题 的 归 约 。NAESAT 是 指 对 给 定 的 一 个 子 句 集 Ci ,…,C ,每 个 子 句 由 3 个 文 
字 组 成 ,涉及 的 变量 有 zzs,…,zs* 问 是 否 存在 这 样 的 一 个 真 值 指派 ,要 求 每 个 子 
句 的 文字 不 全 为 true 或 者 不 全 为 false。 

将 构造 一 个 图 G. 使 得 它 能 够 被 {10,1.2}3 种 颜色 染色 当 且 仅 当 所 有 子 句 取 不 同 
的 值 。 三 角形 是 要 用 到 的 一 个 重要 组 件 : 它 的 3 个 顶点 必须 用 3 i 
对 每 个 变量 zx; 都 存在 一 个 三 角形 [a,zxi;, 一 zj 与 之 对 应 ;所 有 这 些 三 角形 共享 一 
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顶点 4a, 如 图 12. 24 中 上 面 的 几 个 三 角形 所 示 。 每 个 子 句 C; 都 可 以 用 一 个 三 角形 
[Ca ,Ca ,Css] 表 示 ,如 图 12.24 下 面 的 三 角形 所 示 。 最 后 ,在 Ci 的 第 j 个 文字 与 Cs 
间 存 在 着 一 条 边 ,这 样 就 完成 了 图 G 的 构造 。 下 面 证 明 图 G 可 以 被 {10,1,2} 染 色 当 
且 仅 当 给 定 的 NAESAT 实例 可 满足 。 


12.24 三 染色 问题 图 示 


假设 图 G 能 够 被 三 染色 。 通 过 改变 颜色 可 以 保证 节点 a 一 定 是 被 颜色 2 染色 ， 
并 且 对 每 个 zz 和 -x; 用 1 和 0 来 染色 。 若 xz; 被 1 染色, 则 令 对 应 的 变量 取 true; 否 
则 取 false。 对 于 子 句 对 应 的 三 角形 ,车 一 个 子 句 中 所 有 文字 都 为 true, 则 对 应 的 三 
角形 就 不 能 被 染色 ; 同 理 子 句 中 所 有 文字 也 不 可 能 都 为 false。 也 就 是 说 ,对 应 的 
NAESAT 实例 可 满足 。 

假设 NAESAT 的 真 值 指派 存在 。 用 2 对 a 染色 ,变量 对 应 的 顶点 根据 它 的 真 
值 来 染色 ,车 为 true, 则 用 1 染色 ;车 为 false, 则 用 0 染色。 子 句 对 应 的 三 角形 用 下 面 
的 方法 染色 : 找到 三 角形 中 两 个 取 值 相反 的 文字 ,对 应 的 顶点 用 颜色 0 和 1 来 染色 ， 
若 文字 取 true, 则 用 0 染色 ;车 文字 取 false, 则 用 1 染色 .第 三 个 顶点 用 2 染色。 这样 
就 用 {0,1,2}) 完 成 了 对 图 G 的 三 染色 。 证 毕 。 

事实 上 ,所 有 的 NP 语言 都 可 以 用 来 构建 零 知 识 证 明 系 统 , 因 此 也 可 以 构建 一 个 
基于 三 染色 问题 的 零 知 识 证 明 系 统 。 


12.8 注 记 


本 章 重点 介绍 了 一 些 在 信息 安全 研究 中 常用 的 图 论 方法 和 技术 .同时 用 典型 实 
例 阐述 了 图 论 方法 和 技术 在 信息 安全 领域 中 的 应 用 。 图 论 是 一 门 发 展 比 较 成 熟 的 学 
科 , 有 着 丰富 的 研究 成 果 和 广泛 的 应 用 。 有 很 多 图 论 方面 的 著作 ,如 文献 L1] 一 [4]， 
尤其 文献 L1] 和 [2] 是 非常 经 典 的 著作 。 关 于 图 论 在 信息 安全 领域 中 的 应 用 ,图 同 构 
是 其 中 很 重要 的 一 个 方面 :如 文献 L5]`L6]。 图 论 在 密码 学 中 的 应 用 可 参阅 文献 L7]， 
图 论 在 计算 复杂 性 中 的 应 用 可 参阅 文献 [8] 。 图 论 方面 的 一 些 最 新 进展 可 在 《Jounal 
of Graph Theory》 上 找到 ,这 也 是 图 论 研 究 领 域 的 顶级 刊物 。 


[1 
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[3] 
[4 
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[6] 
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在 现代 数学 和 计算 机 科学 中 ,演算 是 最 为 普遍 的 科学 行为 。 所 谓 演算 就 是 利用 
一 些 符号 ,使 用 一 组 演算 规则 ,进行 逻辑 的 推演 。 例 如 ,在 微 积分 学 中 ,人 们 规定 一 系 
列 符号 ,如 zy\= 等 表示 实数 .根据 极限 的 概念 使 用 这 些 符号 推导 出 一 般 的 微分 或 
积分 公式 。 这 种 使 用 一 定 的 符号 ,以 及 一 定 的 规则 构成 公式 ,就 形成 了 一 种 语言 。 再 
连同 一 些 推演 规则 一 起 ,形成 了 一 个 推演 系统 。 一 个 积分 公式 在 数学 家 的 思想 中 有 
着 确定 的 意义 。 而 同一 个 公式 ,在 不 同 的 解释 下 ,有 着 不 同 的 正确 性 。 例 如 ,下 面 的 
公式 : 

存在 一 个 zx， 使 得 x? 一 2 
在 有 理 数 范围 内 解释 ,这 个 公式 是 不 正确 的 。 而 在 实数 范围 内 ,这 个 公式 就 是 正确 
的 。 这 种 对 于 符号 赋予 的 意义 (或 者 解释 ) ,在 逻辑 中 叫做 语义 。 

逻辑 系统 的 产生 和 应 用 最 早 始 于 哲学 范畴 ,后 来 人 们 使 用 符号 代替 自然 语言 , 
行 推演 ,论证 ,从 而 形成 数理 逻辑 系统 。 典 型 的 逻辑 系统 由 语言 .推演 系统 及 模型 论 
语义 3 个 要 素 组 成 。 

语言 是 所 讨论 问题 的 载体 ,用 以 表达 一 些 论断 或 者 命题 和 公式 。 数 理 逻 辑 中 , 语 
言 是 一 个 无 限 字 母 表 上 符号 串 的 集合 ,通常 称 为 形式 语言 。 构 成 逻辑 公式 的 规则 , 称 
为 逻辑 的 语法 。 

一 个 公式 的 正确 与 否 是 与 这 个 公式 在 什么 范围 中 解释 ,以 及 如 何 解 释 是 有 关 的 。 
这 种 在 一 定 范围 中 的 解释 ,就 给 每 个 公式 确定 了 一 定 的 意义 ,就 是 这 个 公式 的 语义 。 
模型 论 是 研究 语法 和 语义 关系 的 一 个 逻辑 分 支 。 

一 个 语言 的 推演 系统 是 为 了 证 明 语 言 中 公式 或 论断 的 真 伪 。 为 了 证 明 一 个 公式 
是 真 的 ,从 一 些 恒 真 的 公式 出 发 ,运用 一 系列 的 推演 规则 ,以 及 已 经 推演 的 结论 ,最 终 
推导 出 这 个 公式 。 这 些 恒 真 的 公式 ,就 是 公理 。 这 些 推 演 规 则 ,就 是 系统 的 推演 法 
则 。 研 究 有 效 的 推演 或 证 明 方 法 的 逻辑 分 支 就 是 证 明 论 。 

数理 逻辑 在 计算 机 科学 帮 至 信息 安全 中 有 着 广泛 的 运用 。 主 要 原因 在 于 ,逻辑 
是 计算 机 科学 的 基础 学 科 。 形 式 化 地 表达 一 个 问题 .有 助 于 利用 计算 机 解决 问题 。 
要 证 明 某 些 系 统 的 可 靠 性 .人们 首先 将 这 个 系统 用 逻辑 语言 表达 出 来 ,再 用 逻辑 的 语 
言 把 需要 验证 的 性 质 正确 地 表示 出 来 .然后 通过 各 种 手段 对 其 证 明 或 验证 。 这 是 计 
算 机 科学 中 常用 的 手法 ,也 毫 不 例外 地 是 信息 安全 中 所 采用 的 方法 。 这 些 方法 从 信 
息 安全 发 展 之 初 就 被 广泛 加 以 利用 。 并 且 可 以 预见 ,将 来 仍然 是 重要 的 方法 之 一 。 
这 一 点 从 计算 机 和 网 络 的 访问 控制 到 安全 协议 的 设计 与 分 析 , 都 有 重要 体现 。 

本 章 主 要 介绍 逻辑 的 基本 概念 和 构成 ,介绍 基本 的 逻辑 系统 : 命题 逻辑 和 一 阶 
逻辑 。 目 的 是 使 读者 了 解 和 掌握 基本 的 逻辑 概念 和 组 成 元 素 。 掌 握 这 些 必 要 的 逻辑 
知识 是 进一步 开展 形式 化 方法 在 信息 安全 方面 应 用 研究 工作 的 前 提 。 此 后 .介绍 在 
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安全 协议 分 析 中 有 着 重要 影响 的 SVO 逻辑 的 语法 .语义 及 该 逻辑 的 公理 系统 ,并 运 
用 该 逻辑 系统 完整 地 分 析 一 个 密 钥 协商 协议 。 目 的 是 使 读者 初步 了 解 安全 协议 分 析 
的 必要 步骤 和 方法 。 


13.1 命题 逻辑 


13.1.1 命题 逻辑 的 语法 


命题 逻辑 以 命题 为 研究 目标 ,因此 命题 逻辑 的 语言 中 以 命题 变 元 为 最 小 的 研究 
单位 , 称 为 原子 公式 。 命 题 逻辑 中 有 两 个 真 值 符号 : 和 ( 真 ) 和 | ( 假 )。 

定义 13.1.1 命题 逻辑 的 字母 表 由 下 列 组 成 : 

(1) 一 个 可 数 无 限 的 字母 集合 ,表示 命题 变 元 : A,B,C,…,Z,Ai，,As，,…。 

(2) 逻辑 连接 符号 : 一 ( 非 ), 入 ( 且 ),V (或 ) ,一 (蕴含 ) ,一 (等 价 ) 。 

(3) 常量 : 上 L 和 T 了 T。 

(4) 辅助 符号 :“(” 左 括号 “)” 右 括号 。 

字母 表 中 的 一 些 符号 排列 在 一 起 ,形成 一 个 符号 串 。 一 个 逻辑 系统 的 公式 是 按 
照 一 定 的 规则 形成 的 符号 串 。 命 题 逻辑 中 的 公式 , 巾 常量 上 和 十 以 及 命题 变 元 ,通过 
连接 符号 适当 的 连接 而 成 。 

定义 13.1.2 ”命题 逻辑 的 公式 递归 定义 如 下 : 

(1) 常量 上 、T 和 每 一 个 命题 变 元 是 公式 。 它 们 称 为 原子 公式 ,把 这 个 集合 记 为 
SP( 简 单 命题 公式 )。 

(2) 如 果 下 .Fi 、Fs 是 公式 . 则 ”FF AF FIV FF 一 FF 一 Fs 都 是 公式 。 
对 于 命题 变 元 P, 命 题 公 式 P 和 了 PP 均 称 为 文字 。 这 时 下 .Fl 和 称 为 对 应 公式 的 
子 人 次 式 。 

(3) 任何 一 个 公式 都 由 上 述 方式 构成 。 

上 述 形式 生成 的 所 有 命题 公式 的 集合 记 为 PROP。 一 般 把 单个 命题 变 元 以 及 命 
题 常量 | 上 ( 即 SP 中 的 公式 ) 称 为 简单 命题 或 简单 公式 。 而 经 过 连接 符号 产生 的 命题 
称 为 复合 命题 或 复合 公式 。 

例 13.1.1 下 面 的 字符 串 Al\A, 和 As 是 复合 命题 公式 

Ai: (P— (Q— R))— ((P— Q)— (P— R)) 

这 个 公式 含有 3 个 原子 公式 : P,Q,R 共有 下 面 9 个子 公式 : 

P.Q.R.Q—> RP—> (QR).P—>R.P—Q(P—™>Q)— (P—™> R.A 

除 A, 外 ,其 余 的 是 真子 公式 。 

As:P— (Q—P) 
这 个 公式 具有 P.Q 两 个 原子 公式 。 共 有 4 个子 公 式 ; P`.Q.Q-~P、A: 
其 中 前 3 个 是 真子 公式 。 
As: ((-7P)—>(-Q)— (Q— A) 
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P.Q、-P、”Q Cn-P) 一 (QI).Q 一 P、A: 

6 个 子 公式 。 

为 了 避免 公式 中 括号 的 烦 闭 ,一 般 定义 以 下 的 从 高 到 低 的 连接 符 的 优先 级 : 

,As Vi 
其 中 连接 词 一 、 一 向 右 结合 。 根 据 这 个 规则 .As 就 可 以 简化 为 
As: (~-P— -Q)— (Q—P) 

但 是 公式 了 -了 P 一 了 QQ 一 P 等 价 于 ”P 一 (”Q-~(Q-~P)) ,而 与 As 不 等 价 。 读 者 会 
发 现 , 有 许多 不 同 的 公式 ,有 着 相同 的 意义 。 即 在 命题 逻辑 的 语义 下 ,它们 等 价 。 


13.1.2 命题 逻辑 的 语义 


在 实际 生活 中 ,一 个 命题 就 是 一 个 论断 ,可 以 判断 真 假 。 比 如 ,“ 太 阳 现 在 的 表面 
温度 很 高 ”就 可 以 判断 为 真 命题 。 而 命题 :“ 太 阳 绕 着 地 球 转 ”就 是 一 个 假 命题 。 尽 
管 这 个 命题 在 几 百 年 前 曾 被 认为 是 一 个 真 命题 ,但 是 它 是 一 个 假 命题 。 虽 然 人 们 的 
认识 水 平 可 以 改变 ,但 是 命题 的 真 假 是 不 能 改变 的 ,不 能 够 随意 确定 的 。 再 如 , 黎 曼 
假设 实际 上 是 一 个 命题 ,尽管 目前 还 不 知道 它 的 真 假 , 但 是 它 的 真 假 值 是 一 定 的 。 通 
常 把 命题 的 真 假 值 称 为 命题 的 真 值 。 这 样 ,在 古典 逻辑 中 ,一 个 命题 的 真 值 可 以 为 
真 ,也 可 能 是 假 , 二 者 必 居 其 一 。 

用 命题 语言 中 的 | 表示 假 命 题 ,十 表示 真 命题 。 命 题 变 元 可 以 表示 任意 的 命题 。 
所 以 命题 的 真 值 是 集合 BOOLEAN 二 10,1}。 这 个 集合 也 称 为 布尔 集合 。 其 中 0 表 
示 假 ,而 1 表示 真 。 命题 | 的 真 值 为 0。 这 种 把 命题 的 真 值 假设 为 真 假 两 个 值 的 风 
辑 , 也 叫 二 值 逻 辑 。 这 里 不 涉及 多 值 逻 辑 。 

一 个 复合 命题 的 真 值 可 以 通过 其 中 的 原子 命题 的 真 值 来 确定 。 也 就 是 说 ,从 公 
式 下 .Fi 和 Fs 真 值 ,就 能 够 得 到 一 F、(Fi A Fo)、(FiV Fz)、(i 一 Fo)、(Fi 嘻 Fs) 的 
真 值 。 它 们 之 间 的 关系 可 以 列表 如 表 13. 1 所 示 。 


表 13.1 逻辑 连接 符 的 真 值 表 


aP PAQ PVQ PQ PoeQ 


more 


0 
0 
1 
1 


~ oor- 


~oo 
上 
-OPPp 


1 
和 
0 
0 


这 些 关系 可 以 解释 如 下 : 

了 PP 的 真 值 恰 与 P 的 真 值 相反 ; 

PAQ 的 真 值 为 1 当 且 仅 当 PP 和 Q 的 真 值 都 为 1; 

PVQ 的 真 值 为 1 当 且 仅 当 PP 和 Q 至 少 有 一 个 真 值 为 1; 

PP 一 Q 真 值 为 0 当 且 仅 当 PP 为 假 时 ,Q 为 真 ; 

PQ 真 值 为 1 当 且 仅 当 已 和 Q 具有 相同 的 真 值 。 

根据 这 个 解释 , 当 原 子 命题 变 元 的 真 值 确定 后 ,所 有 复合 命题 的 真 值 也 就 随 之 确 
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定 了 。 

定义 13.1.3 把 SP 到 BOOLEAN 的 任何 一 个 映射 称 为 一 个 赋值 。 

任何 一 个 赋值 ,都 给 每 个 命题 变 元 指派 了 一 个 值 。 根 据 命 题 公式 构成 的 定义 ,一 
个 复合 命题 的 真 值 就 可 以 通过 递归 的 方式 .利用 表 13. 1 中 连接 符 的 真 值 解释 ,而 最 
终 确定 。 征 的 赋值 永远 为 1, 上 的 赋值 为 0。 

假设 赋值 v 满足 v(P) 二 1,v(Q) 一 0,v(R) 二 1, 那 么 公式 

A:PAQ= “QVR 

在 v 下 的 真 值 就 是 : v(A)= 二 1 人 0 一 了 0V1=0 一 1 二 1 

任何 一 个 命题 公式 都 是 有 限 长 的 符号 串 ,因而 其 中 含有 的 命题 变 元 的 个 数 有 限 。 
当 这 些 命题 变 元 的 赋值 确定 后 ,这 个 命题 的 真 值 就 唯一 确定 了 。 所 以 ,对 于 一 个 命题 
公式 ,只 有 有 限 多 个 能 够 影响 其 真 值 的 赋值 。 把 一 个 命题 公式 在 所 有 相关 赋值 下 的 
真 值 总 结 到 一 起 ,形成 它 的 真 值 表 。 如 上 面 公式 A 的 真 值 表 如 表 13. 2 所 示 。 


表 13.2 真 值 表 


0 0 0 0 1 1 1 1 


1 0 0 1 1 


0 1 0 和 0 1 0 1 


性 | 克 | 虽 | 
品 


1 1 [1 0 1 


从 上 述 表 中 可 以 看 出 ,由 于 公式 中 含有 3 个 命题 变 元 ,所 以 真 值 表 中 涉及 23 个 
赋值 。 一 般 地 ,如 果 一 个 公式 含有 m 个 命题 变 元 ,那么 这 个 公式 的 真 值 表 中 将 涉及 
2” 个 赋值 。 上 面 的 真 值 表 中 ,在 某 个 赋值 w 下 ,公式 的 真 值 是 1; 有 些 赋值 下 ,公式 的 
真 值 是 0。 但 是 有 些 公式 的 真 值 表 中 ,所 有 的 赋值 都 是 1 。 

定义 13.1.4 一 个 公式 下 在 某 个 赋值 vw 下 真 值 为 1. 则 说 这 个 公式 是 可 满足 的 ， 
记 为 ww 下。 如 果 一 个 公式 下 在 任何 赋值 下 都 是 1, 这 个 公式 称 为 有 效 的 ,或 者 称 为 重 
言 式 , 记 为 下 。 如 果 一 个 公式 下 在 任何 赋值 下 , 真 值 为 0, 则 说 这 个 公式 在 这 个 赋值 
下 不 满足 , 记 为 w 下 。 如 果 一 个 公式 在 任意 赋值 下 都 不 满足 .赋值 满足 则 称 为 是 一 
个 矛盾 或 者 不 可 满足 的 。 

显然 对 于 任何 一 个 重 言 式 A, 公 式 "A 是 不 可 满足 的 。 可 以 验证 ,上 节 中 给 出 的 
3 个 公式 : Ai 、As .A 都 是 重 言 式 。 

公式 的 可 满足 性 在 逻辑 推演 和 计算 机 科学 中 有 着 重要 的 意义 。 例 如 ,模型 检测 就 
是 可 满足 性 判定 的 一 种 方法 。 在 工业 设计 ,计算 机 软件 可 靠 性 分 析 中 ,有 着 重要 的 
应 用 。 

一 个 所 谓 的 判定 问题 ,就 是 给 定 问题 的 一 个 输入 ,回答 为 “是 ”或 “ 否 ” 的 问题 。 
例如 ,命题 逻辑 的 可 满足 性 问题 ,就 是 给 定 一 个 命题 公式 :判定 它 是 否 可 以 满足 。 这 
个 问题 就 是 一 个 判定 问题 。 一 个 判定 问题 是 可 解 的 ,意思 是 存在 一 个 算法 ,对 于 这 个 
问题 的 任何 一 个 实例 作为 输入 .这 个 算法 都 会 在 有 限 步 内 停止 ,给 出 “是 ”或 者 “ 否 ” 的 
回答 。 如 果 不 存 在 这 样 的 算法 ,那么 这 个 判定 问题 是 不 可 解 的 。 

命题 逻辑 的 可 满足 性 问题 是 一 个 可 解 的 问题 ,或 者 说 是 一 个 可 判定 问题 。 这 个 
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问题 的 一 个 算法 是 : 给 定 一 个 命题 公式 , 列 出 其 真 值 表 ,. 如 果 有 某 一 个 赋值 下 ,公式 
的 真 值 为 1, 则 是 可 满足 的 。 这 个 过 程 可 以 在 有 限 多 步 下 完成 ,因而 是 一 个 判定 
但 是 这 个 判定 过 程 的 效率 是 非常 低 的 。 一 个 含有 m 个 原子 公式 的 公式 ,要 考虑 
2” 个 赋值 。 当 原子 公式 的 个 数 较 大 时 ,这 是 一 个 不 可 接受 的 判定 过 程 。 
通过 研究 公式 的 构成 ,从 而 得 到 有 效 的 判定 过 程 ,这 是 数理 逻辑 研究 的 一 个 主要 
的 内 容 。 


13.1.3 语义 推论 与 语义 等 价 


定义 13.1.5 两 个 命题 公式 FF.G ,对 于 任意 的 赋值 v 满 足 : 如 果 w 下 则 wv G， 
则 说 G 是 下 的 一 个 推论 , 记 为 下 G。 如 果 下 是 G 的 推论 ,并 且 G 是 下 的 推论 , 则 说 下 
和 G 是 等 价 的 , 记 为 FG。 如 果 厂 是 一 个 公式 集合 ,并 且 任 意 赋值 v 满足 : 如 果 对 于 
下 中 任意 公式 F,o 下 ,那么 一 定 有 ww G, 则 说 G 是 厢 的 一 个 推论 , 记 为 TT G。 

从 定义 中 可 以 看 出 ,两 个 公式 等 价 , 当 且 仅 当 两 个 公式 的 真 值 在 任何 赋值 下 相 
同 。 特 别 ,任何 重 言 公式 等 价 于 十, 任何 矛盾 公式 等 价 于 | 。 关 于 推论 有 下 面 的 性 
质 : 下 G 当 且 仅 当下 一 G 是 重 言 公式 。 这 可 以 通过 真 值 表 证 明 。 下 面 是 几 个 常见 
的 等 价 公式 ,它们 的 证 明 可 以 通过 真 值 表 得 到 。 

(1) F>GSO -FVG,。 

(2) FEV(CGA 万 ) 全 CEFEVG) ACEFV H) (分 配 律 )。 

(3) FA (GV 覃 ) 司 (FAG)V (FAH) (分 配 律 )。 

(4) -(FAG) 守 了 TFV 了 -了 G (De Morgan 法 则 )。 

(5) mmCFVG) 全 ”FAnG (De Morgan 法 则 )。 

(6) EV ~- ESOT. 

在 公式 的 等 价 证 明 中 ,有 一 个 等 价 代 换 的 法 则 : 将 一 个 公式 的 某 个 子 公式 代 换 
为 与 这 个 子 公 式 等 价 的 公式 ,得 到 的 公式 与 原来 的 公式 等 价 。 

应 用 上 述 公 式 , 利 用 等 价 代 换 的 法 则 ,可 以 方便 地 证 明 许 多 公式 的 等 价 性 。 

(7) ((CAD)VA)A(CCAD)VB)ACEV -5 ESANB)V (CAD)., 

证 明 : 记 左 边 的 公式 为 pg, 那么 9 的 最 末 一 个 子 公 式 为 EV 了-E 等 价 于 丁 , 由 此 
9 等 价 于 ((CAD)VA)A(CCAD)VEB) ,根据 分 配 律 , 它 等 价 于 (CAD)V (AAB) 
等 价 于 右边 的 公式 。 


13.1.4 命题 逻辑 推演 系统 


一 个 逻辑 的 推演 系统 由 一 些 推演 规则 和 一 些 公 理 组 成 。 由 这 些 公理 ,通过 推演 
规则 得 到 的 公式 , 称 为 一 个 定理 。 从 公理 推导 出 一 个 定理 ,可 能 要 经 过 一 系列 的 推 
导 :得 到 一 系列 的 公式 。 把 这 些 公式 按 顺 序 罗 列 起 来 就 形成 一 个 公式 序列 , 称 为 定理 
的 一 个 形式 证 明 。 在 表 13. 3 中 列 出 常用 的 推导 规则 : 其 中 了 代表 一 集 命题 公式 。 
用 也 G 表示 G 可 以 由 厂 推 导出 。 如 果 厂 是 空 集 . 则 记 做 G。 
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表 13.3 命题 逻辑 推演 法 则 


GG 在 中 (假设 ) DSAIST (单调 性 ) 二 对- (双重 否定 ) 


TG I ) 
世宗 RE (引入 A) EAL (消去 A) 
二 Ve I H (消去 V) 
A (人 的 对 称 性 ) FY (V 的 对 称 性 ) 
WEE (引入 -~ CEFFGLE (消去 ~) 


TT (FAG)A 人 万 
TFAGAH 


T (FVOVH 


(《 信 的 括号 规则 》 下 FFVGVF 


CV 的 括号 规则 ) 


TFVYVG 当 且 权 当 下 二 (一 下 和 二 GCCV 的 定义 ) 


TF 一 G 当 且 仅 当 也 -FVG (一 的 定义 ) 


了 FerG 当 且 仅 当 了 FE 一 G 且 有 G 一 F (全 的 定义 ) 


表 13. 3 所 示 是 命题 多 辑 推演 规则 列表 。 表 中 的 推演 法 则 一 般 是 时 座 的 形式 。 


后 面 的 括号 中 列 出 该 法 则 的 名 称 。 下 面 就 利用 这 些 法 则 进行 一 些 公 式 的 证 明 。 

例 13.1.2 证 明 下 列 命题 : 

(1) (P—>(Q—>R))—>((P—>Q)—(P—R)); 

(2) P—(Q—P); 

(3) (~-P—-Q)—>Q—A. 

细心 的 读者 会 发 现 , 上 述 证 明 的 公式 正好 是 例 13.1.1 中 的 Ai、As、A;, 即 空 集 可 
以 推演 出 Al、.A: .A: 。 表 13. 4 只 给 出 Ai 的 推演 过 程 。 


表 13.4 Ai, 的 推演 过 程 


推演 过 程 论 据 
1. {P>(Q—>R),P—>Q,P} P 假设 
2. {P>(Q™>R).P™>Q,.P} P>Q 假设 
3. {P—(Q—*R),P—”Q,P} Q 1,2, 消 去 一 
4 {PQ=R)>P--QP} PQ=R) 假设 
5. {P—(Q—>R),P—Q,P} (Q—R) 1,4, 消 去 一 
6. {P>(Q—>R),P—>Q,P} R 3,5, 消 去 一 
人 P=Q} P=R 6, 引 入 一 
8. {P 一 (Q-~R)} (P>Q)—(P—R) 7, 引 入 一 
9 8， 


CP-~(Q-~R))- 一 (C(P-~Q)- 一 C(P-~R)) 可 | -= 


上 述 的 证 明 过 程 的 每 一 步 .都 可 以 清楚 地 用 表 13. 3 中 的 规则 验证 。 实 际 上 还 有 
许多 推演 法 则 可 供 推演 使 用 。 利 用 表 中 给 出 的 法 则 可 以 证 明 更 多 的 推演 法 则 : 
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例 13.1.3 下 面 是 另外 一 些 推演 法 则 ,只 给 出 (1) 的 证 明 , 如 表 13. 5 所 示 。 
表 13.5 例 13.1.3 中 (1) 的 证 明 


规则 (1) 的 推演 过 程 论 据 
1. TU{F} G 前 提 
2 UE} 6 对 1 实行 双重 否定 
3. I FPF=* = 2, 引 入 一 
A my 3, 一 的 定义 
SP GV EF 4,V 的 对 称 性 
SOR 5, 引 入 一 
7. TU{-G} -5G——F 6, 单 调 性 
8. TU{-G} -G 假设 
9. TU{-G} -°F 7,8, 消 去 一 
i 到 出 改天 六合 
ety UG 
(1)〈( 道 否 法 则 ) FFU-G) RE。 
(2) (矛盾 法 则 ) 工 二 人工。 
(3) ( 重 言 式 法 则 ) FEFVSE。 
(4) (矛盾 证 明 法 则 ) PHULE CPP >G. 
本 ee 
(5) ( 逐 类 证 明 法 则 ) TU GPL EL G. 


尽管 给 出 了 如 此 多 的 推演 法 则 ,但 是 仍然 有 许多 常用 的 法 则 没有 包括 进来 。 比 
如 ,分 配 律 .DeMorgan 律 等 。 但 是 ,它们 都 可 以 由 表 13. 3 中 的 规则 推演 得 到 。 

在 逻辑 的 推演 系统 中 ,一 个 最 重要 的 问题 就 是 .推演 系统 的 可 靠 性 。 所 谓 推演 系 
统 的 可 靠 性 ,就 是 一 个 公式 可 以 由 一 个 集合 推演 出 来 ,那么 这 个 公式 一 定 是 这 个 集合 
的 一 个 推论 。 下 面 证 明 命 题 推 演 系 统 是 可 靠 的 。 

定理 13.1.1 如 果 厂 下 上 则 一 下 。 

证 明 : 如 果 厂 下 ,那么 一 定 存在 利用 表 13. 3 中 的 法 则 进行 的 一 系列 的 推演 ,最 
终 得 到 卫 下 。 我 们 只 需 验 证 每 一 步 都 是 可 靠 的 推演 即 可 。 实 际 上 只 需 验 证 每 条 法 
则 的 可 靠 性 即 可 。 这 里 只 验证 表 13. 3 中 的 两 条 规则 的 可 靠 性 ,其 余 的 留 给 读者 。 


下 EVGTUIE) EPHG) 豆 ( 消 去 V ) 的 可 靠 性 。 


证 明 : 由 于 前 提 厂 FVG.TU{F) 及 ,TU1{G) 互 意 味 着 

和 且 FVG.TUI{F) 及 .TU1{G}) 五: 证 明了 及。 对 于 任意 赋值 wv. 如 果 w 古 , 由 芽 
FVG 得 知 v 下 或 者 vw G。 

如 果 w 下 , 则 wv TU {F}, 再 由 TUI{F)} 及 知 v 有 H。 

如 果 v G, 则 wv TU{G). 再 由 TU{G} 理 知 vw H。 

总 之 有 w 肪 。 再 由 wv 的 任意 性 知 T 互 。 


(1) 证 明 
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(2) 证 明了 UL Gc 引 入 一 ) 的 可 靠 性 。 

证 明 : 前 提 假 设 PFU{F}》 G, 证 明 厂 F 一 G。 设 赋值 v 满足 厂 。 如 果 进 一 步 有 
v 下 , 则 由 UU {F} G 知道 ,w G。 如 果 w 下 ,根据 一 的 语义 解释 一 定 有 w 下 一 G。 
将 这 个 过 程 列 真 值 表 如 表 13.6 所 示 。 


表 13.6 真 值 表 
uCT) uCF) uCG) uCF-=G) 
1 1 1 1 
0 # i 


表 13.6 中 的 * 可 以 是 0 或 者 1。 由 于 wv 是 任意 的 赋值 ,说 明 厂 FG 可 靠 性 定 
理 保证 了 ,正确 的 命题 推演 得 到 的 命题 一 定 正确 ,这 样 就 把 语义 的 正确 性 和 可 证 明 性 
紧密 联系 起 来 。 由 此 有 下 面 的 推论 : 

(1) 空 集 推演 出 的 公式 一 定 是 重 言 式 。 这 是 因为 ,如 果 下 可 以 由 空 集 推 汝 得 到 ， 
那么 根据 单调 性 , 它 可 以 由 任何 集合 推演 得 到 , 即 任何 赋值 满足 下。 

(2) 如 果 一 下 可 以 被 空 集 推 汝 得 到 ,那么 下 一 定 是 矛盾 式 ( 即 不 可 满足 )。 


13.2 一 阶 逻 辑 


这 一 节 介 绍 一 阶 逻辑 的 基本 概念 。 在 上 一 节 介 绍 的 命题 逻辑 中 ,研究 对 象 仅 限 
于 命题 ,至 于 命题 是 如 何 构成 的 则 没有 涉及 。 一 阶 逻 辑 则 更 进一步 研究 具有 一 定 结 
构 的 命题 ,以 及 构成 这 些 命题 的 个 体形 成 的 结构 和 所 遵循 的 规律 。 因 此 ,在 一 阶 边 辑 
中 ,引入 函数 和 谓词 的 概念 。 有 了 这 些 新 的 概念 ,一 阶 逻 辑 具 有 很 强 的 表达 能 力 。 几 
乎 可 以 表达 一 般 数 学 中 所 有 的 命题 和 定理 。 尽 管 被 称 为 一 阶 逻 辑 , 并 非 表 明 它 是 最 
为 简单 的 逻辑 。 由 于 本 章 目的 是 介绍 用 于 表达 安全 性 质 的 逻辑 ,并 且 由 于 篇 幅 的 限 
制 ,在 这 里 只 介绍 一 般 与 其 他 逻辑 共性 的 性 质 , 也 就 是 文献 中 经 常 涉及 的 性 质 。 以 便 
读者 对 于 基础 知识 有 一 定 的 认识 。 


13.2.1 一 阶 逻 辑 的 语法 


定义 13.2.1 一 阶 逻 辑 语 言 的 字母 表 含 有 下 列 符 号 : 
(1) vv ，… (个体 变 元 ); 


(2) 一 ,V ,人 ,一 ,下 ( 非 或 .与 .蕴含 . 当 且 仅 当 ); 
(3) V, 习 〈 全 称 量词 .存在 量词 ) ; 
(4) 二 (等 于 ); 


(5) ),(( 插 弧 ); 

(6) 非 逻 辑 符 号 : 

对 于 任意 0, 有 一 集 n 元 的 关系 符号 {RI ,RE ,…} (可 以 是 空 集 ) 。 
@ 对 于 任意 nn 二 0, 有 一 集 nn 元 的 函数 符号 { 育 , 诺 ,…}( 可 以 是 空 集 )。 
@ 一 集 常量 符号 {ci ,cs ,…} (可 以 是 空 集 ) 。 
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习惯 上 ,使 用 P,Q,R,… 作 为 关系 符号 ,关系 符号 也 称 为 谓词 符号 。 因 此 ,一 阶 
逻辑 也 称 为 谓词 逻辑 。 使 用 f,g.h,… 作 为 孙 数 符号 。 而 c,cl,cz,… 表 示 常 量 符号 。 
用 z,y,=,… 表 示 个 体 变 元 。 

定义 中 ,(1) 一 (5) 包 含 的 符号 通称 为 逻辑 符号 ,其 中 Y、 了 称 为 量词 符号 。V 是 
全 称 量词 ,是 存在 量词 。 正 是 这 些 量词 的 使 用 ,使 得 一 阶 逻辑 具有 强大 的 表达 
能 力 。 

一 个 一 阶 语言 由 其 非 逻 辑 符号 所 决定 。 不 同 的 非 罗 辑 符号 ,决定 了 不 同 的 语言 。 
所 以 说 一 个 一 阶 语言 ,往往 只 要 表明 其 非 逻 辑 符号 。 比 如 , 群 论 的 一 阶 语言 为 Li 一 
{。,e}。 其 中 。 是 一 个 常量 符号 ,意欲 表示 群 的 单位 元 。 符 号 是 群 的 二 元 运算 函数 
符号 。 域 论 的 语言 为 Li 二 {十 ,。,0,1}。 其 中 十 和 °。 是 二 元 运算 函数 符号 ,分 别 表示 
加 群 和 乘 群 的 乘法 运算 。 常 量 0 表示 环 的 单位 元 ,1 表示 乘法 群 的 单位 元 。 

在 数学 中 ,公式 的 项 是 一 些 变 元 、 常 量 及 函数 的 有 意义 的 组 合 。 一 阶 逻 辑 中 ， 
有 着 同样 的 定义 。 

定义 13.2.2 一 个 项 通过 有 限 次 的 使 用 下 述 规则 得 到 : 

(1) 语言 中 的 一 个 变 元 是 一 个 项 ; 

(2) 语言 中 的 一 个 常量 是 一 个 项 ; 

(3) 如 果 ,ts,… ,ts 是 项 ,f 是 语言 的 一 个 n 元 函数 符 , 则 (ni,to，…,t,) 是 一 
个 项 。 

公式 是 最 为 熟悉 的 数学 表达 式 。 利 用 项 的 定义 ,给 出 一 阶 逻 辑 的 公式 的 定义 。 

定义 13.2.3 一 个 语言 L 的 公式 是 通过 有 限 次 使 用 下 述 规 则 得 到 的 符号 串 : 

(1) 如 果 ts 是 项 ,那么 = 二 ts 是 一 个 公式 ; 

(2) 如 果 ,ts,…,t 都 是 项 ,R 是 语言 的 一 个 关系 符号 ,那么 R(t ,to，…,t,) 是 
一 个 公式 

(3) 如 果 gp 是 一 个 公式 , 则 一 g 是 一 个 公式 ; 

(4) 如 果 gy 是 两 个 公式 ,那么 pA 人 ypgV yp 一 yp 一 yy 都 是 公式 ; 

(5) 如 果 g 是 一 个 公式 ,x 是 一 个 变 元 , 则 Yzp 和 3zp 都 是 公式 。 

其 中 仅仅 通过 (1)、(2) 两 项 生成 的 公式 称 为 原子 公式 。 在 (5) 中 , Yzp 定义 为 
一 3x 了 gq。 这 两 个 公式 是 可 以 互 换 的 。 

下 面 是 一 阶 语言 Li 二 {1°,e}) 的 一 些 公式 ,它们 一 起 组 成 了 群 的 公理 : 

(G1) VriVyVz((zr° y)° z= rx° (y° <)) 
(G2) VzCz。e 一 并 ) 
(G3) Vr dy(x° y= e) 

公式 (G1) 表 示 结 合 律 ,(G2) 说 明 e 是 右 单位 元 ,(G3) 说 明 每 个 元 素 都 具有 右 
逆 元 。 

在 某 些 公式 中 .个体 变 元 都 在 量词 Y、 了 的 辖 域 中 : 即 这 些 公 式 没 有 自由 变 元 。 
通常 把 这 种 没有 自由 变 元 的 公式 称 为 句子 或 语句 。 下 面 的 公式 就 不 是 句子 : 

Vzr(CRCr,y)A JyQzx,y)) 
这 是 因为 个 体 变 元 > 没有 被 任何 量词 约束 。 这 种 没有 被 任何 量词 约束 的 变 元 称 为 
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自由 变 元 。 在 3yQ(z,y) 中 , 变 元 > 被 存在 量词 所 约束 ,因此 不 是 自由 变 元 。 
13.2.2 一 阶 逻 辑 的 语义 


在 命题 逻辑 中 看 到 .一 个 命题 的 真 值 只 有 两 种 可 能 性 , 即 真 或 假 。 而 在 一 阶 逻 辑 
中 ,要 复杂 得 多 。 

例如 ,公式 Vy 3zFCz) 一 >y。 在 实数 域 中 ,假如 f(x) 二 zx? ,那么 当 y 二 0 时 ,公开 
就 不 成 立 , 故 公式 假 。 如 果 f(x) 二 x ,那么 公式 就 真 。 再 者 ,如 果 在 整数 环 中 ,即使 
f(x) 二 x, 原 公 式 也 是 假 的 。 这 说 明 ,一 阶 逻 辑 中 的 公式 的 语义 与 个 体 变 元 的 范围 ， 
或 者 称 为 论 域 (如 实数 或 整数 集合 ) 有 关 。 也 与 函数 符号 .关系 符号 的 意义 有 关 。 

定义 13.2.4 一 个 语言 工 的 论 域 ,是 一 个 集合 UL 以 及 在 这 个 集合 中 ,LL 的 常 
量 函数 符号 及 关系 符号 的 解释 。 

的 每 个 常量 解释 为 UL 中 的 一 个 固定 元 素 ,n 元 函数 符号 解释 为 这 个 集合 上 的 
一 个 n 元 函数 ,n 元 关系 符号 解释 为 该 集合 上 的 一 个 nn 元 的 关系 。 

例子 ,语言 工 一 (0,1; 十 ,。 ;一 }。 这 个 语言 中 有 两 个 常量 符号 两 个 函数 符号 、 
一 个 关系 符号 。 它 的 两 个 论 域 为 : 尺 ={ 有 Rl0,1; 十 ,。; 一 }) 和 2Z=(ZI0,1; 十 ,。; 一 )。 
其 中 及 是 全 体 实数 的 集合 ,而 Z 是 整数 集合 。 对 于 0,1 的 解释 都 是 通常 的 整数 0 和 
1; 十 和 。 是 通常 的 加 法 和 乘法 :二 是 通常 的 小 于 关系 。 

对 于 语言 工 , 它 的 任意 一 个 语句 9 在 L 的 一 个 论 域 M 中 或 者 为 真 或 者 为 假 。 如 
果 在 M 中 为 真 ,那么 就 说 M 是 它 的 一 个 模型 , 记 为 M 9; 否则 说 M 不 是 go 的 一 个 模 
型 , 记 为 M p。 

例如 ,对 于 语言 二 {0,1; 十 ,，; 二 } 中 的 句子 pg 二 Vx 3y(0 二 x 一 y*y 一 x), 在 
论 域 R 中 是 真 的 , 即 R yg; 而 Z p。 

对 于 语言 L 和 它 的 任意 一 个 语句 pg， 如果 9p 在 工 的 一 个 论 域 M 中 为 真 ,就 说 p 
是 可 满足 的 。 如 果 g 在 L 的 所 有 模型 中 都 成 立 ,那么 og 是 一 个 恒 真 式 ( 或 者 称 为 重 
言 式 ) , 记 为 gp。 如 果 在 任意 模型 中 都 不 成 立 , 则 说 g 是 一 个 天 盾 式 。 

可 满足 性 的 定义 可 以 推广 到 一 般 的 公式 上 : 假设 %zz，…,z) 是 工 的 一 个 
公式 ,那么 yCzi,xs，…,x,) 在 M 中 满足 当 且 仅 当 Vz Vzxs… Yzp 《x1 ,Xs，… ,XZ,) 在 
M 中 满足 , 即 M Vi Vza… Vig Xi 2 °° 9Tn)o 

在 数理 逻辑 中 .模型 论 是 一 门 研究 语法 和 语义 关系 的 数学 分 支 . 有 着 丰富 的 内 
容 。 其 结果 对 于 数学 和 计算 机 科学 都 有 着 积极 的 促进 作用 。 在 计算 机 程序 验证 和 安 
全 协议 验证 方面 .模型 检测 是 一 个 主要 的 手段 。 具 体 说 来 ,假设 一 个 性 质 可 以 用 一 个 
公式 9 刻画 ,这 个 性 质 要 满足 的 环境 为 一 个 模型 M。 那 么 这 个 性 质 是 否 在 这 个 环境 
中 被 满足 ,就 是 模型 检测 问题 。 即 判定 是 否 M yg。 这 里 要 强调 的 是 ,在 计算 机 科学 
中 ,往往 在 不 同 的 应 用 场景 .采用 不 同 的 逻辑 ,如 时 态 逻 辑 、 模 态 逻 辑 等 。 在 后 面 要 介 
绍 信念 逻辑 ,就 是 为 了 适应 安全 协议 的 安全 属性 刻画 的 需要 。 

与 命题 逻辑 一 样 ,如 果 y 的 模型 都 是 9 的 模型 ,那么 说 p 是 % 的 一 个 推论 , 记 为 
4 gpg。 如 果 进 一 步 有 gy, 则 称 y 与 9 等 价 , 记 为 yop。 同样 ，y 表明 gp 是 一 个 重 
言 式 。 
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13.2.3 一 阶 逻 辑 的 推演 系统 
人 们 把 命题 人 逻辑 的 推演 规则 进行 扩充 ,形成 一 阶 逻 辑 的 推演 规则 。 其 中 械 代 表 
一 集 命题 公式 。 用 厂 G 表示 G 可 以 由 厂 推导 出 。 如 果 丁 是 空 集 , 则 记 做 G。 一 阶 
逻辑 的 推 洽 规 则 是 表 13. 3 加 上 表 13.7 中 的 规则 。 
表 13.7 一 阶 逻 辑 推演 规则 (部 分 ) 


T Vrpl(z) pT 7 3rip(r) 
TT 3znpC TT Vg) 


(量词 V 的 定义 ) 


三 PC) ( 是 一 个 项 ,z 是 一 个 变 元 ， 


DT 了 zpCz) 并 且 不 在 9 中 约束 出 现 ) (引入 习 量 词 ) 


T PCto) 人 网 是 一 个 变 元 ,不 在 p 中 约束 出 现 ， 


六 YD (4% 是 一 个 变 元 ` 或 者 一 个 不 在 工 中 出 现 的 常量 】 《引入 Y) 


I go“0 
nT Arp(z)™ dz0 


本 时 而 0 本 
《量词 的 可 分 配 性 ) yp 了 yi6 《量词 Y 的 可 分 配 性 


也 Qizx(Q yp) a ER 
Gi yp (QQ: 是 量词 ) (量词 括 弧 法 则 ) 


i 是 一 个 项 《 自 反 性 ) 全 侍 人 7 全 全 (4 和 是 项 (等 式 痊 换 ) 

定义 13.2.5 一 阶 逻 辑 的 形式 证 明 是 一 系列 X 9 形式 的 论断 ,这 些 论断 都 是 
经 过 上 述 表 13. 3 和 表 13.7 规则 推演 得 到 。 如 果 矿 9p 是 这 一 系列 论断 中 的 一 个 , 那 
么 就 说 g 可 以 从 下 中 推演 得 到 。 

由 于 形式 证 明 需 要 对 于 每 一 步 应 用 推演 规则 ,所 以 一 个 命题 的 形式 证 明 , 要 比 通 
常 的 数学 证 明 繁 难 。 正 如 前 述 强调 的 一 样 ,一 个 逻辑 的 推演 系统 ,最 重要 的 是 其 可 靠 
性 。 如 果 一 个 推演 系统 的 可 靠 性 无 法 保证 ,这 个 推演 系统 就 是 一 个 无 法 使 用 的 系统 。 
对 于 一 阶 软 辑 有 以 下 定理 。 

定理 13.2.1 (可 靠 性 ) 如 果 T yg 则 TT p。 

直观 上 ,这 个 定理 说 明 ,一 个 命题 是 形式 可 证 明 的 ,一 定 是 语义 正确 的 。 要 证 明 
这 个 定理 ,就 要 对 于 每 个 推演 规则 进行 说 明 。 这 里 略 去 。 因 为 着 眼 点 在 于 逻辑 的 应 
用 ,因此 给 出 三 个 推演 过 程 , 供 读者 体会 ,如 表 13. 8 至 表 13. 10 所 示 。 


表 13.8 定理 13.2.1 推演 过 程 (一 ) 


推演 过 程 论 据 
1.T Vzp(Cz) 假设 
2. PU{ 了 PCGD) YVrp(Czr) 对 1 用 单调 性 
3. TU{-9(0)} 一 3zmpCz) 对 2 用 V 的 定义 
4. TU{- p90)} 一 PCb 假设 
5. TU{- p90)} Ir yx) 对 4 进行 了 3 量词 引入 
Gr 3 由 3,5 以 及 矛盾 法 则 
7. TT 9) 对 6 用 双重 否定 法 则 
8. 1 deplxy 对 7 用 了 量词 引入 
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表 13.9 定理 13.2.1 推演 过 程 (二 ) 


推演 过 程 论 据 
1. 了 p(Cz) 假设 
2. TT (p(x)V 一 (Cz 一 z)) 对 1 引入 V 
3.T (T(rx=zx)Vo9(7)) 对 2 用 V 的 对 称 性 
4. TT (r=zx)>9(x)) 对 3 用 一 的 定义 
5. TT VrCz 一 Z)- 一 VzpCzr)) 对 4 进行 VY 量词 分 配 
6. TT c=e 自 反 性 法 则 
7.T Vzr(z=x) 对 6 用 引入 VY 量词 
8. TT Vrg(z) 对 5,7 用 一 消去 
表 13.10 定理 13.2.1 推演 过 程 (三 ) 
推演 过 程 论 据 
TT 3zp(Cz) 假设 
TU{-9} 3zp(Cz) 单调 性 
TU{-9} -9 假设 


} 
by } 
.TU{T9} Vr g(x) 
} 一 3z 一 一 PCz) 
. PU{m9p}) ”3zp(z) 


对 3 用 前 一 个 证 明 的 结论 
对 4 用 量词 V 的 定义 
对 5 用 进行 用 双重 否定 


.TT mpCz) 
.TT PCZ) 


对 2,6 用 矛盾 法 则 
对 7 用 双重 否定 


1 
2 
3 
4 
5. TU{-9 
6 
柳 
8 


例 13.2.1 对 于 任何 公式 PCz), 有 Vzp(Cz) 3zp(Cz)。 

证 明 : 记 T 二 {Yrzg(z)), 欲 证 厂 3zpCz)。 在 证 明 过 程 中 ,要 用 到 上 节 例 题 中 
的 矛盾 法 则 : 开 ULGH PHG 2。 证 明 过 程 见 表 13. 8。 
设 z 不 在 公式 g(xz) 中 自由 出 现 , 则 公式 PCZ)，Vzp(Czr)， 3zp(z) 是 


例 13. 2.2 
可 证 明 等 价 的 。 

证 明 : (1) 先 证 明 p(x) Vzp(Cz)。 令 T 一 (PCz)}。 证 明 过 程 见 表 13. 9。 

(2) 再 证 明 3zp(Cz) glx)。 记 T= 二 { 3xrp(x)}。 证 明 过 程 见 表 13. 10。 

(3) 由 例 13. 2. 1 知道 , Yrp(x) 3zp(Cz)。 
由 上 述 (1)、(2)、(3) 可 知 g(x), Vzp(z), 3zp(Cz) 是 证 明 等 价 的 。 

计算 机 科学 中 一 个 非常 重要 的 概念 称 为 可 判定 性 。 直 观 上 说 ,一 类 问题 是 可 判 
定 的 ,意思 是 存在 一 个 算法 .对 于 这 类 问题 中 的 任何 一 个 问题 用 这 个 算法 在 有 限 步 内 
得 到 这 个 问题 的 正确 性 判定 。 

具体 到 一 阶 逻 辑 , 把 一 些 句 子 的 集合 称 为 一 个 理论 。 对 于 一 个 理论 工 .如 果 存 在 
一 个 算法 ,使 得 任何 句子 p 都 可 以 用 这 个 算法 在 有 限 步 内 判定 是 否 在 这 个 理论 中 ， 
或 者 由 这 个 理论 推演 出 , 则 说 这 个 理论 是 可 判定 的 。 如 果 一 个 理论 是 不 可 判定 的 , 意 
味 着 任何 有 限 多 个 算法 都 无 法 实现 判定 过 程 。 对 于 不 可 判定 的 问题 ,只 能 够 寄 希 望 
于 找到 对 于 一 部 分 问题 的 判定 方法 。 例 如 ,已 经 证 明 , 认 证 协议 是 不 可 判定 的 ,所 以 
无 法 用 一 个 算法 实现 认证 协议 的 安全 性 判定 过 程 。 
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13.3 ”SVO 逻辑 


本 节 介 绍 一 个 用 于 安全 协议 分 析 的 逻辑 系统 一 一 SVO 逻辑 。SVO 逻辑 是 由 
Paul F. Syverson 和 Paul C. van Oorschot 在 总 结 了 BAN 类 人 逻辑 的 基础 上 提出 的 。 
BAN 逻 辑 是 一 个 具有 历史 意义 的 逻辑 。 它 是 由 Burrows、Abadi 及 Needham 提出 的 
一 个 专门 用 于 认证 协议 安全 性 证 明 的 逻辑 。 作 为 第 一 个 专门 为 安全 协议 证 明 设 计 的 
逻辑 系统 , 它 的 出 现 引 起 了 学 术 界 极 大 的 兴趣 。 也 标志 着 逻辑 系统 在 安全 协议 证 明 
的 应 用 方面 的 开端 ,因而 具有 标志 性 意义 。 由 于 该 系统 具有 许多 弱点 ,引发 了 后 续 的 
许多 改进 的 逻辑 系统 。 人 们 把 这 种 类 似 于 BAN 逻辑 ,用 于 认证 协议 安全 性 证 明 的 
逻辑 ,通称 为 BAN 类 逻辑 。 

在 所 有 BAN 类 轩 辑 中 ,SVO 是 少 有 的 几 个 具有 模型 论语 义 的 逻辑 ,并 证 明了 它 
的 可 靠 性 。 这 也 是 这 里 选择 介绍 这 个 逻辑 的 缘由 。 


13.3.1 SVO 逻辑 的 语法 


这 个 逻辑 的 语法 是 由 两 部 分 组 成 。 一 部 分 是 消息 语言 , 另 一 部 分 是 公式 语言 。 
两 者 都 是 通过 项 集合 上 的 符号 相互 递归 生成 的 。 

SVO 语言 的 非 逻 辑 符 号 如 下 : 

(1) P,Q,… 表 示 协 议 参 与 者 的 身份 ; 

(2) 密 钥 符号 为 :有 ,ki ,ks ，…; 

(3) x1, x2 多 

(4) 函数 符号 如 下 : (Xi,X,,…,X,) 是 对 于 个 消息 的 连接 运算 ; 

{XX} 用 密 钥 & 作用 到 消息 X 上 (加 密 或 解密 ); 

[XJ 用 密 钥 & 对 于 X 的 签名 。 

(5) 关系 符号 : sees(P,X)、received(P.X)、says(P.X).said(P,X).fresh(X), 


也- 二 -Q、PK,CP,A) PKCP,R)A PK CP,k). 

我 们 经 常会 把 sees(P.,X) received(P.X)、says(P.X).、said(P.X).believes(P,X) 和 
也 controls 分 别 写成 P sees X、P received X、P says X、P said X、P believes X 和 P controls 
多 等 。 

定义 13.3.1 项 集合 由 下 列 常量 符号 组 成 : 

(1) 表示 协议 参与 者 身份 的 常量 P,Q,…; 

(2) 表示 共享 密 钥 、 公 开 密 钥 和 私密 密 钥 的 常量 符号 ,ki ,ks ，…; 

(3) 表示 数字 的 常量 符号 1 ,2,3,…; 

(4) 表示 无 法 识别 的 符号 *1 ，*a，…。 

定义 13.3.2 SVO 的 消息 语言 M 及 公式 语言 下 通过 下 列 方式 相互 递归 


4 
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(1) 消息 语言 M 是 由 下 列 方式 生成 的 ”上 的 最 小 语言 : 

。 如 果 XE , 则 XX 是 一 个 消息 ; 

。 如 果 Xi ,X,,…,X, 是 消息 ,并 且 下 是 任何 函数 ,那么 下 (Xi,Xs,…X,) 是 一 
个 消息 ; 

。 如 果 pg 是 一 个 公式 , 则 p 是 一 个 消息 。 

(2) 公式 语言 天 是 通过 下 述 方式 生成 的 最 小 的 语言 : 


。 当 PP 和 Q 是 主体 ,k 是 一 个 密 钥 , 则 已 < 二 - Q,PK,(P,k),PK,(P,k) 和 
PKs(P,k) 都 是 公式 ; 

。 当 X 和 并 是 消息 , 且 & 是 密 钥 , 则 SVCX,&,Y) 是 一 个 公式 ; 

。 当 X 是 一 个 消息 , 己 是 一 个 主体 , 则 P sees X、P received X、P said X 及 
fresh(X) 都 是 公式 ; 

。 如 果 p 和 y 是 公式 , 则 pgAy 和 一 yg 也 是 公式 (其 他 连接 词 同 样 定义 ); 

。 如 果 g 是 公式 , 则 P believes gq 和 PP controls p 也 是 公式 。 

对 于 上 述 的 基本 公式 给 予 直观 的 解释 : 

(1) P controls p 表明 PP 对 于 9p 是 可 信和 权威 。 如 果 有 PP says 9p; 那么 9 就 是 被 PP 

所 宣称 为 正确 的 。 


(2) P <>~Q 表明 密 钥 是 P 和 Q 分 享 的 对 称 密 钥 。 仅 有 已 .Q 及 其 所 信任 的 
人 能 够 使 用 这 个 密 钥 进 行 加 、 解 密 。 

(3) PK(P,k) 表明 A 是 已 的 公 钥 , 密 钥 A :是 对 应 的 私 铀 。PK, (P,k)、 
PK。CP,A) 和 PKasCP,A) 分 别 表 示 & 分别 是 P 的 加 密 、 签 名 以 及 密 钥 协商 密 钥 。 

(4) SV(X.k,Y) 是 描述 签名 验证 的 。X 是 消息 Y 的 签名 , & 是 验证 密 钥 。 

(5) 消息 [Xj 被 用 以 表明 使 用 密 钥 & 对 于 消息 X 的 加 密 及 消息 X 本 身 。 这 里 
要 说 明 的 是 ,不 使 用 加 、 解 密 函 数 {X) 表示 签名 ,是 因为 许多 的 签名 方案 并 不 能 够 通 
过 验证 密 钥 恢 复出 原文 。 因 而 不 一 定 是 加 、 解 密 运 算 。 


13.3.2 SVO 逻辑 推演 法 则 和 公理 
SVO 逻辑 作为 一 个 模 态 逻辑 .具有 两 个 推演 法 则 : 
假 言 推理 (MP): ee 


必然 法 则 (Nec. ) : 如 果 gg 则 P believes og。 

注意 这 里 的 gp 的 意思 是 p 可 以 从 公理 中 推演 得 到 。SVO 的 公理 包括 所 有 命题 
逻辑 的 重 言 式 以 及 下 述 20 个 公理 概 型 。 

信念 : 对 于 主体 已 及 公式 p 

公理 1. P believes 人 忆 believes(Cp 一 四 一 已 believes y, 

公理 2. P believes p>P believes(P believes 2) 。 

公理 1 表明 ,一 个 主体 相信 自己 的 信念 导致 的 结论 。 而 公理 2 是 说 每 个 主体 可 
以 分 辨 自己 的 信念 。 
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消息 源 : 密 钥 用 于 推导 消息 发 送 者 的 身份 。 


公理 3. (P 二 received( X®}):)—>(Q said X \ Q sees k) 

公理 4. (PK,(Q,k) NR received XASV(X.k.Y)) >Q said Y 

公理 3 表明 ,如 果 PP 和 Q 共享 有 一 个 好 的 密 钥 &, 并 且 P 收 到 来 自 Q 的 用 对 
X 加 密 的 密 文 , 则 可 得 出 Q@ 说 了 X 及 看 见 了 A。 

公理 4 表明 , 密 钥 是 Q 的 签名 密 钥 ,R 收 到 了 X ,并 且 通 过 使 用 & 验证 说 明 共 
是 Y 的 签名 , 则 得 出 Q 说 过 Y 的 结论 。 

密 钥 协商 : 由 好 的 密 钥 协商 密 钥 得 到 的 是 好 的 会 话 密 钥 。 


Fo Ck, ska) 
公理 5 XPRCP ENPRKi(QLDT =P<————=*Q 


公理 6. gp ep[Fo(k,k')/Fo(k’,k)] 

其 中 的 Fo (k,k') 是 一 个 密 钥 协商 函数 。 比 如 ,Diffie-Hellman 密 钥 交换 协议 中 
的 指数 函数 。 公 理 6 表明 了 密 钥 协商 的 对 称 性 。 

收 到 的 消息 : 一 个 主体 收 到 消息 的 连接 、 可 以 解密 的 消息 的 密 文 及 签名 的 消息 ， 
则 收 到 该 消息 。 

公理 7. P received( Xi ,X，,… ,X,) 一 已 received X， 

公理 8. (P received{X) 八 P sees k)—>P received X 

公理 9. P received [X]:—>P received X 

在 公理 8 以 及 以 后 文中 ,& 表示 密 钥 的 逆 。 如 果 k 有 是 公 钥 , 则 月 表示 k-! ,如 果 
& 是 对 称 密 钥 ,那么 就 是 本身 。 

所 见 到 的 消息 : 一 个 主体 见 到 所 有 收 到 的 消息 ,以 及 从 收 到 的 消息 能 够 计算 得 
到 的 消息 。 见 到 消息 和 收 到 消息 的 区 别 在 后 面 要 讲 到 。 

公理 10. P received XP sees XX 

公理 11. P sees(X1.X,,*…,X,)>P sees X; 

公理 12. P sees Xi 人 忆 sees X, 八 :… 人 也 sees X,—P sees F(X ,X,,.…,X,) 

这 里 的 下 是 主体 P 可 计算 的 函数 。 

会 消息 : 如 果 一 个 主体 领会 一 个 消息 ,并 看 见 它 的 一 个 函数 形式 ,那么 就 理解 
他 的 确 看 见 的 是 该 消息 。 

公理 13. P believes(P sees F(X))—>P believes(P sees X) 

这 里 的 下 是 PP 能 够 计算 下 或 7 的 一 个 函数 。 比 如 .下 可 能 是 一 个 加 密 、 解 密 
函数 。 这 个 公理 初 看 起 来 说 明 PP 可 以 计算 下 的 逆 : 给 了 F(X) 可 以 得 到 XX。 但 是 ， 
在 P 无 法 计算 下 的 道 时 ,这 个 公理 说 明 在 P 具 有 XX 的 情况 下 ,仅仅 知道 他 具有 ( 认 
识 ) 消 息 F(X)( 这 是 可 识别 性 )。 公 理 13 的 逆 是 一 个 定理 。 

说 明 消 息 : 一 个 主体 说 过 一 个 连接 的 消息 .那么 他 就 说 过 所 连接 的 每 个 消息 。 
最 近 所 说 的 消息 ,曾经 也 说 过 。 任 何人 都 见 到 自己 所 说 的 消息 。 

公理 14. P said(Xi,X:,*…,X,)—>(P said X;N\P says Xi;) 

公理 15. P says(Xi,X,,*…,X,)—P said(X,,X,,.…,X,) 人 三 saysX; 

权 属 : 这 个 公理 实际 是 说 ,P 的 话 对 于 问题 中 的 og 是 法 律 。 
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公理 16. (P control 人 says pg)>9 

新 鲜 性 : 如 果 其 中 有 一 个 消息 是 新 鲜 的 ,那么 连接 的 消息 是 新 鲜 的 。 新 鲜 消 息 
的 有 效 的 1 一 1 函数 (包括 加 密 和 解密 函数 ) 值 是 新 鲜 的 。 

公理 17. fresh(X;) 一 fresh(Xi,X,,*…,X,) 

公理 18. fresh(X) ,Xs,*…,X,)—fresh(F(X),X,,.…,X,)) 

这 里 的 函数 值 FCXi ,XX,,… ,XX, ) 必 须 是 真正 依赖 于 新 鲜 消息 的 , 无 法 保证 新 鲜 
性 。 例 如 ,如 果 X 是 新 鲜 的 ,而 Y 不 是 新 鲜 的 ,那么 0XX+Y 就 不 是 新 鲜 的 。 

时 鲜 值 的 验证 : 新 鲜 性 将 一 个 消息 从 过 去 曾经 说 过 ,提升 到 现在 说 过 。 

公理 19. (fresh(X) 人 人 P said X)—>P says X 

共享 密 钥 良好 性 的 对 称 : 


公理 20. P< >Q <Q -< 上 -P 
13.3.3 ”SVO 逻辑 的 语义 


本 节 简 单 地 介绍 SVO 逻辑 语义 。SVO 逻辑 是 在 所 有 安全 协议 验证 的 逻辑 中 为 
数 不 多 的 、 具 有 严格 语义 的 逻辑 。 由 于 这 个 语义 定义 ,以 及 可 靠 性 的 证 明 , 使 得 SVO 
逻辑 的 推理 具有 可 信 性 。 有 鉴于 本 章 主 要 目的 在 于 SVO 逻辑 的 应 用 ,限于 篇 幅 , 在 
这 里 将 舍 去 语义 定义 中 较为 复杂 的 部 分 ,以 及 可 靠 性 证 明 部 分 。 重 点 详细 介绍 应 用 
SVO 逻辑 证 明 协 议 安全 性 质 的 原理 和 方法 。 

1. 计算 模型 

假设 协议 的 计算 是 在 nn 个 主体 Pi ,Ps,,….P, 之 间 进 行 的 ,此 外 有 一 个 附加 的 主 
体 P. 是 环境 主体 。 环 境 主体 可 以 描述 入 侵 者 以 及 正在 传输 过 程 中 的 消息 。 

每 个 主体 P; 有 一 个 局 部 状态 s;。 这 nn 十 1 个 局 部 状态 构成 计算 的 全 局 状态 。 每 
个 主体 在 计算 中 体现 为 3 种 动作 : 

。 发 送 一 个 消息 到 集合 G 中 的 主体 , 记 为 sendCX.G); 

。 接收 某 个 ( 些 ) 消 息 , 记 为 receive(X); 

。 生成 一 个 消息 , 记 为 generate(CX) 。 

需要 注意 的 是 ,主体 的 内 部 操作 ,如 加 密 、 解 密 、 生 成 随机 数 等 动作 不 在 协议 运行 
中 体现 出 来 ,而 是 通过 生成 消息 而 蕴含 地 体现 出 来 。 而 一 个 主体 能 够 生成 的 消息 只 
能 够 是 原始 项 , 即 ”中 元 素 。 

协议 的 一 次 运行 是 全 局 状态 的 一 个 无 限 序列 。 这 个 序列 是 通过 整数 作为 时 间 的 
标记 而 记录 的 。 初 始 状 态 的 时 间 为 + 二 0, 对 一 个 运行 x, 在 时 间 + 的 全 局 状态 为 r (71)， 
相对 应 于 它 的 P; 局 部 状态 记 为 r;(t) ,有 时 将 ri(t) 记 为 7(1)。 

主体 可 能 的 变换 : 对 于 任意 主体 P;. 可 能 进行 的 变换 就 是 任意 多 次 使 用 消息 语 
言 定义 中 的 规则 ,对 于 目前 所 接收 到 的 消息 进行 运算 ,并 且 每 个 主体 有 能 力 认识 经 过 
不 同 途 径 形 成 的 消息 的 异同 。 

局 部 状态 : 主体 P; 的 局 部 状态 由 两 部 分 组 成 .一 部 分 是 主体 到 目前 所 进行 的 所 
有 动作 ; 另 一 部 分 是 到 目前 为 止 所 有 变换 。 
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环境 主体 的 局 部 状态 由 三 部 分 组 成 : 全 局 动作 的 历史 和 环境 状态 可 能 的 变换 ， 
以 及 对 于 每 个 主体 P; 一 个 缓冲 器 mm; :记录 发 送 给 P; 但 是 还 没有 收 到 的 消息 。 规 定 
所 有 的 消息 , 先 发 后 至 。 即 如 果 receive(X) 在 某 个 运行 一 Ci 中 出 现 , 则 一 定 存在 一 
个 运行 rj (zt ) ,使 得 send(X,G) 出 现 , 并 且 1 二 i。 

直接 收 到 的 消息 : 一 个 主体 P; 除了 对 于 收 到 的 消息 进行 变换 得 到 新 的 消息 外 ， 
主要 通过 接收 外 部 消息 。 这 些 消 息 包括 : 

(1) 所 有 receive(X) 出 现 于 局 部 消息 中 的 X; 

(2) 所 收 到 的 消息 的 连接 ; 

(3) 收 到 {X)i ,并 且 可 以 运用 有 对 于 它 进行 变换 得 到 X; 

(4) 收 到 某 个 密 钥 的 签名 [Xj 。 

所 见 到 的 消息 : 在 某 个 时 间 点 ,主体 P; 直接 收 到 的 消息 、 新 生成 的 消息 ,以 及 协 
议 的 最 初 所 具有 的 消息 构成 P; 在 这 一 点 所 见 到 的 消息 。 

间接 收 到 的 消息 : 间接 收 到 的 消息 是 没有 直接 收 到 ,但 是 属于 见 到 的 消息 范畴 
的 消息 。 所 收 到 的 消息 则 是 直接 和 间接 收 到 的 消息 的 总 称 。 

曾 声 明 的 消息 : 曾 声明 的 消息 是 所 见 到 消息 的 子 集合 。 给 定 已 在 (r,t) 所 发 送 
的 消息 M, 定 义 曾 声明 的 M 的 子 消息 如 下 : 

(1) M 的 所 有 子 消息 连接 的 连接 ; 

(2) M 的 没有 解密 的 子 消息 ,并 且 已 具有 它 的 密 钥 .而且 见 到 过 它 的 明文 ; 

(3) M 的 一 个 签名 子 消息 的 未 签名 时 消息 ,P; 有 签名 密 钥 , 见 过 该 消息 ; 

(4) M 的 一 个 Hash 消息 原 像 ,P, 见 过 该 原 像 ; 

(5) M 的 任何 子 消息 M',P; 通过 M 的 子 消息 来 说 明 它 。 

Pi; 在 (r,t) 曾 声明 过 的 消息 的 集合 就 是 在 r 中 到 + 为止 所 发 送 的 所 有 消息 的 曾 
声明 的 子 消息 的 并 。 

2. 真 值 的 定义 

本 节 定 义 一 个 公式 的 真 值 。 为 此 确定 一 个 系统 为 一 些 运行 的 集合 尺 。 如 果 公 式 
9 在 某 点 (r,) 真 , 记 为 (r,t) pg。 与 前 面 一 样 ,，9q 表明 p 是 在 任何 运行 下 的 任何 一 点 
都 真 。 

逻辑 连词 : 

《rst) pgAy 当 且 仅 当 (x,t) p 且 (rt) y。 

(rs;t) 一 9 当 且 仅 当 (r,t) 9。 

接收 : (7.t) P received X 

当 且 仅 当 是 P 在 (ry, 四 点 接收 到 的 消息 集合 中 元 素 。 

看 见 : (w.t) P sees X 

当 且 仅 当 X 位 于 己 在 (Cr:, 世 点 所 见 到 的 消息 集合 中 。 

声明 : (x,1) Psaid X 

当 且 仅 当 在 运行 7 中 , 某 个 时 刻 1 =t 主体 P 发 送 消息 M: 而 X 是 M 在 (Cr:) 
点 了 的 声明 子 消息 。 

(r,t) P says X 
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当 且 仅 当 在 7 的 某 点 0 二 1 二 1,P 发 送 了 M. 而 XX 是 P 在 (r,t ) 的 M 的 声明 子 消 息 。 

权 属 : (x.1) P controls p 

当 且 仅 当 (r,t) P says 9 蕴含 着 对 于 所 有 0 二 7z ,(r,t’) P says p。 

新 鲜 性 : (1,1) freshCX) 

当 且 仅 当 对 于 所 有 的 己 以 及 任何 的 时 刻 一 0, 都 有 (rz) P said X。 

密 钥 : 

CL Cr 下 < 

当 且 仅 当 对 任意 时 刻 1 ,(r,t') R said{ X2) 意味 着 (rt) R received{ X2) ,或 
者 R==Q 有 H(t) R said X HB(r,t’) R sees k。 

如 果 (y,t') R received{ X);. 则 RE1{P.,Q}。 

(2) (r,t) SV(Y,k,X) 当 且 仅 当 存在 密 钥 可 以 使 用 验证 Y= 二 [Xjx。 

(3) (r,t) PK。(P,K) 当 且 仅 当 对 于 所 有 1 ,(r,t') Q received YA 人 SV(Y,k,X) 志 > 
(r,t’) P said X。 

(4) (r,t) PK,(P,K) 当 且 仅 当 对 于 所 有 t+,(r,t') Q sees{X) 一 仅 当 Q= 己 时， 
(r,t’) Q seesX。 

(5) (r,t) PKs(P,K) 当 且 仅 当 对 于 所 有 的 7: 


Q@ 对 某 个 Q@ 和 ks,t') PP 一 
@ 对 于 所 有 的 R、k:, 如 果 (xr.t') R 


Fo (Ck, Ar) 


FoCksk) 


户 则 对 于 任意 UsksCryz》 


其 中 的 Fe。 函数 是 协议 中 的 密 钥 协商 函数 。 

信念 : (r,t) Pi believes p 当 且 仅 当 对 于 所 有 满足 (r,t) 一 ; (r,t) 的 (r,t ) 有 
(r,t) gilr ,t), 并 且 对 于 某 个 这 样 的 (r,t'), 有 p= 二 gi《r ,1 )。 

限于 篇 幅 , 对 于 信念 的 定义 这 里 省 略 了 一 些 内 容 。 请 读者 参考 文献 [4] 。 

根据 上 述 真 值 的 定义 ,可 以 证 明 以 下 定理 。 

定理 13.3.1 SVO 是 可 靠 的 : 如 果 T yg. 则 TT yg。 

这 个 定理 表明 :协议 验证 的 过 程 中 所 进行 的 推演 都 是 可 信 的 。 从 而 保证 不 会 推 
演出 荡 雇 的 结论 。 这 里 同样 省 略 了 定理 的 证 明 过 程 。 


13.4 利用 SVO 逻辑 分 析 协 议 的 原理 


利用 SVO 逻辑 对 于 协议 的 分 析 与 BAN 逻辑 最 大 的 区 别 在 于 : SVO 逻辑 无 须 
对 于 协议 进行 理想 化 。 这 是 一 个 较 大 的 改进 .因为 理想 化 的 过 程 是 一 个 困难 的 、 容 易 
出 现 错误 的 人 为 过 程 。 

对 于 安全 协议 的 语法 分 析 主 要 由 两 步 构成 。 

(1) 前 提 建 立 : 这 些 前 提 体 现 协议 描述 的 假设 。 

(2) 目标 证 明 : 利用 这 些 前 提 、 公 理 及 逻辑 推演 法 则 证 明 所 要 达到 的 目标 。 
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这 两 步 的 目标 ,就 是 看 是 否 能 够 从 前 提 到 达 协 议 要 达到 的 目标 。 如 果 无 法 证 明 
协议 的 安全 目标 ,就 要 考虑 任何 增加 一 些 步骤 才能 够 达到 这 个 或 这 些 目 标 。 这 个 过 
程 就 包含 着 寻找 协议 攻击 的 可 能 性 。 

在 这 两 步 中 ,建立 前 提 的 过 程 是 一 个 相对 较为 复杂 的 过 程 。 为 了 便于 读者 理解 ， 
以 用 Needham-Schroder 密 钥 分 发 协议 为 例 , 说 明 第 一 步 建立 前 提 的 过 程 。 下 一 节 
将 会 完整 的 分 析 一 个 密 钥 协商 协议 。 

Needham-Schr6der 是 协议 分 析 的 一 个 标准 协议 。 协 议 本 身 含 有 以 下 5 步 : 

(1) AsopS:A,B, Ne 

(2) Ss9A: {N,,B,ko, {kav ,As 

(3) APB,: (ko,A) 

(4) BHA: (Ne si 

C5 A DB Ns— Ls 

符号 解释 : A、B 是 两 个 主体 的 身份 标识 ,N。Ne 分 别 是 它们 的 时 鲜 值 ,ks 是 服 
务 器 S 分 发 给 他 们 的 共享 的 密 钥 。k,, 和 ks 分 别 是 A 和 B 与 S 共享 的 密 钥 。 
{X) 表示 用 密 钥 & 对 于 信息 X 加 密 的 密 文 。 

前 提 一 般 分 为 以 下 4 类 。 

第 一 类 前 提 是 初始 假设 ,就 是 协议 开始 时 假设 正确 的 假设 。 包括 主 体 相信 自己 
生成 的 时 鲜 值 的 新 鲜 性 ,自己 与 服务 器 所 共享 的 密 钥 的 良好 性 。 服 务 器 对 于 自己 生 
成 的 会 话 密 钥 的 权 属 及 良好 性 。 还 包括 主体 对 于 所 具有 的 项 的 领会 ,以 及 对 于 签名 
验证 的 领会 。 

对 于 Needhan-Schr6der 协议 .有 下 面 的 假设 前 提 : 

| A believes fresh(N.,) 

B believes fresh(N,) 


kay 
P2 A believes S control(A <——B) 


ky 
B believes S control(A <——>B) 
P3 A believes S control(fresh(k,, ) ) 
B believes S control(fresh(k,,)) 


kk 
P4 A believes(A < 一 ~S) 


B believes(B ey 
第 二 类 前 提 是 关于 协议 运行 时 所 收 到 信息 的 前 提 。 这 类 假设 课题 直接 从 协议 的 
描述 中 得 到 ,并 且 在 证 明 中 很 少 用 到 。 但 是 可 以 用 于 形成 其 他 后 续 的 假设 。 
在 Needham-Schr6der 协议 中 .这 类 的 假设 是 : 
P5 A received{N,,B,ks, {ks A} es 
P6  B received{ksw ,A}n. 
P7 A received{ Nt} 
P8 B received{ N,—1} 


kab 
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第 三 类 前 提 是 关于 主体 对 于 所 收 到 信息 的 领会 或 理解 。 即 使 一 个 主体 收 到 一 个 
消息 ,也 无 法 保证 他 对 于 这 个 消息 完全 了 解 。 比 如 所 分 发 的 密 钥 ,由 于 其 随机 性 ,使 
得 主体 难以 识别 它 。 这 类 的 前 提 可 以 容易 地 从 上 一 类 前 提 中 得 到 。 

具体 到 Needham-Schr6der 协议 有 

P9 A believes A received{ N,.B,*1.,*2).. 

P10 B believes B received{ * ;,A}n. 

Pll B believes B received{N,—1} + 

注意 这 里 没有 对 于 对 应 于 P7 的 前 提 假 设 , 这 是 因为 A 没有 从 该 消息 中 理解 任 
何 东西 。 公 式 中 的 “* ”表示 的 是 无 法 识别 的 消息 内 容 。 

第 四 类 前 提 是 每 个 主体 对 于 收 到 的 消息 进行 的 解释 。 就 是 主体 认为 发 送 者 发 送 
这 个 消息 的 含义 。 

具体 到 Needham-Schroder 协议 有 

Pl2 A believes(A received{ N,,B,*1,*, = 


L329 
A received{ N,,B,A <—>B,fresh(ks,), * a)..,) 


Pl3 B believes(B received{ * : A}n.™B received{( A petty J 
P14 B believes(B received{ *3,A})n,, A\B received{ Nb 一 1) .一 
B received{ No, —1},.) 

注意 在 P14 中 ,B 要 相信 自己 收 到 {NN 一 1)., ,首先 必须 收 到 该 消息 ,而 且 要 收 
到 S 告诉 他 有 关 As 的 消息 。 没 有 后 者 ,就 无 法 识别 前 者 。 

一 且 这 些 前 提 设 定 以 后 ,就 可 以 应 用 逻辑 公理 和 推演 法 则 进行 协议 目标 的 推演 。 
这 里 要 注意 的 是 ,SVO 逻辑 除了 假 言 判断 以 外 含有 一 个 必然 法 则 。 这 个 必然 法 则 必 
须 只 能 够 对 于 逻辑 定理 来 引用 ,不 能 够 对 于 一 般 的 结论 使 用 :和 否则 就 会 推演 出 荒 廖 的 
结论 。 而 逻辑 定理 就 是 仅仅 由 逻辑 公理 和 推演 法 则 得 到 的 那些 句子 . 即 一 个 公式 p 
是 一 个 定理 当 且 仅 当 p。 


13.5 一 个 密 钥 协商 协议 的 逻辑 分 析 过 程 


密 钥 协商 协议 的 分 析 要 较 之 认证 协议 的 分 析 更 为 微妙 。 主 要 原因 在 于 密 钥 协商 
需要 对 于 更 多 的 安全 性 质 , 诸 如 密 钥 的 确认 、 密 钥 良 好 性 以 及 长 期 .短期 密 钥 的 绑 定 
等 性 质 的 描述 。 

13.5.1 协议 分 析 常 用 的 协议 目标 


下 面 是 协议 分 析 时 常用 的 协议 目标 的 描述 。 
G1. 远 端 的 操作 性 : A believes B says X 
G2. 身份 认证 : A believes B says F(X.N,.) 


G3. 安全 密 钥 建立 : A believes (A =~BAA sees 4) 


G4. 密 钥 确认 : A believes (A N\A sees kAMU says(U sees £)) 
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G5. 密 钥 的 新 鲜 性 : A believes fresh(k) 
G6. 共享 密 钥 的 相互 领会 : A believes B says (A < 上 -BA 人 Asees 4 


这 些 是 一 些 主要 的 安全 目标 ,但 并 非 所 有 密 钥 协商 协议 都 能 够 或 者 必须 达到 所 
有 的 目标 。 大 部 分 的 目标 从 表达 上 就 可 以 清楚 其 意义 。G1 说 明 A 相信 目前 B 是 在 
线 的 。 在 G2 中 NN, 是 A 的 时 鲜 值 ,函数 下 是 B 可 以 有 效 计算 的 1 一 1 函数 ,并 且 A 
可 以 计算 下 或 下 的 逆 。 基 本 思想 是 ,A 确信 B 最 近 对 于 A 的 挑战 时 鲜 值 N。 有 一 个 
回应 ,而 G3 在 B 没有 参与 目前 协议 甚至 没有 密 钥 & 的 情况 下 也 可 能 成 立 。 

下 面 是 一 些 典型 的 协议 初始 假设 。 这 些 假设 涉及 可 信 的 权威 TT 和 协议 参与 
者 A。 在 具体 协议 中 它们 可 能 是 关于 所 有 参与 者 都 成 立 的 。 

Al. 工 的 签名 密 钥 : A believes PK,(T.,k.) 

A2. 本 的 签名 密 钥 的 所 属 : A _ believes T control PK,(B,k,) 

A3. 工 的 协商 密 钥 的 所 属 : A believes T control PK;(B,k,) 

A4. 自己 协商 密 钥 的 良好 性 : A _ believes PKs(CA ,As。) 

A5. 时 鲜 值 的 新 鲜 性 : A believes fresh(NN,) 

这 些 假设 的 意义 明显 : 主体 相信 和 具有 可 信 权 威 的 良好 签名 密 钥 ;可 信 权 威 具 有 
其 他 主体 公开 密 钥 论断 的 所 属 权 。 每 个 主体 相信 自己 密 钥 协商 密 钥 的 良好 性 ,以 及 
自己 所 生成 时 鲜 值 的 新 鲜 性 。 

有 一 点 要 注意 的 是 ,所 属 权 是 很 强 的 概念 ,使 用 时 需要 倍加 小 心 。 可 信 权 威 在 发 
放 公 钥 证 书 时 ,不 仅 要 确认 所 请 求 的 公 钥 ,而 且 要 确认 请 求 者 具有 相应 的 私 钥 。 对 于 
签名 密 钥 以 及 密 钥 协商 密 钥 来 说 尤为 重要 。 


13.5.2 MTI 协 议 的 描述 


下 面 用 SVO 逻辑 分 析 MTI 密 钥 协商 协议 。MTI 密 钥 协商 协议 是 由 
Matsumoto、Takashima 和 Imai 在 1986 年 提出 的 。 协 议 的 目的 是 建立 一 个 共享 密 
钥 : 使 用 两 个 Diffie-Hellman 指数 运算 ,结合 事先 确定 的 变 元 ,最 终生 成 一 个 共享 


首先 :协议 的 主体 都 具有 可 信 方 工 发 放 的 公 钥 证 书 。 他 们 共享 一 个 密码 系统 的 
参数 : 一 个 p 阶 群 G, 其 中 离散 对 数 问 题 是 难 解 的 .以 及 G 的 一 个 生成 元 sg。 主体 


A 的 私 钥 为 x,B 的 私 钥 为 y。 他 们 的 公 钥 分 别 为 X 二 g” 和 Y 一 8s*。 记 主体 A 的 公 钥 
证 书 为 Cert, 一 {A,X,[X,Aj!}, 主体 B 的 公 钥 证 书 为 Cert, 一 {B,Y,LB,Yj-1)}。 协 
议 的 信息 发 送 只 有 一 个 来 回 : 

APB.: Cert,,R, 

BPA.: Cert,,R, 
其 中 A 选择 一 个 任意 数 r, 计算 R, 一 g"; 主 体 B 选择 一 个 任意 数 ; ,计算 R, 一 g*。 双 
方 各 向 对 方 发 送 自 己 的 公 钥 证 书 及 所 计算 的 R 值 。 

在 验 明 对 方 的 公 和 钥 证 书后 ,主体 A 计算 k 一 YRt 一 g*+? ,主体 B 计 算 k 一 XR} 一 

g”+”。 这 个 公共 的 值 就 是 共享 密 钥 。 用 形式 符号 表示 上 述 协 议 就 是 : 
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APB: (A,X,[A, Xj) ,R, 
BPA: (B,Y,[B,YJ) ,Rs 


1. 协议 前 提 的 建立 
为 了 证 明 协 议 的 目标 .首先 建立 协议 的 假设 。 假 设 每 个 主体 相信 . 是 可 信 权 威 
工 的 签名 验证 密 铀 (Al) : 
Pl. A believes PK,(T,k.) 
B believes PK,(T.k.) 
每 个 主体 相信 个 人 密 钥 的 良好 性 (A4): 
P2. A believes PKs(A,(X.,R.,)) 
B believes PK;(B.(Y,R,)) 
每 个 主体 相信 自己 生成 的 随机 值 是 新 鲜 的 (A5): 
P3. A believes fresh(R,) 
A believes fresh(R,) 
我 们 要 表达 : 每 个 主体 相信 ,可 信和 权威 对 于 男 一 方 的 协商 密 钥 有 所 属 权 。 但 是 ， 
在 本 协议 中 ,A3 是 不 适合 的 。 主 要 原因 在 于 ,所 属 的 概念 是 通过 控制 来 表述 的 。 而 
控制 的 语义 是 ,可 信 权 威 对 于 所 生成 的 信息 具有 全 部 的 控制 权 , 并 且 是 新 鲜 的 。 本 协 
议 中 的 协商 密 钥 中 公 钥 证 书 没 有 新 鲜 性 保证 ,并 且 协 商 密 钥 不 仅仅 依赖 于 公 钥 ,而 且 
依赖 于 主体 生成 的 新 的 随机 值 。 然 而 可 以 用 下 述 的 
P4. A believes((T said PK;(B,Y))A 人 人 
A received((B,Y,LB,Y]1), *,) >PK3(B,(Y, *b,))) 
B believes((T said PK;(A.X))A 人 人 
B received( (A,X,[A,X]1), *.) >PK(A,(X, *,))) 
以 上 的 前 提 是 协议 初始 假设 形成 的 前 提 。 如 13. 4 节 所 述 , 还 有 存在 反映 主体 收 
到 消息 的 前 提 、 对 于 所 收 到 消息 的 理解 的 前 提 , 以 及 主体 对 于 收 到 的 消息 的 解释 形成 
的 前 提 。 把 它们 一 起 罗列 如 下 : 
P5. A believes A sees (X.R,.r.r) 
B believes B sees (Y ,Rb,.y.s) 
P6. A believes SV([B,Y J At (BY)) 
B believes SV([LA,X]! skercAv A 
P7. A received((B.Y.LB.Y]).,R;,) 
B received( (A.X,LA.X]1).,R,) 
P8. A believes A received ((B.Y.[B,Y]1),*+,) 
B believes B received (A,X,LA,X]r! 东区 和 
P9. A believes(T said(B,Y)—(T said PK (了 BY))) 
B believes(T said(A.X)—(T said PKs(A.X))) 
下 面 的 任务 就 是 推演 证 明 协 议 的 目标 。 巾 于 本 协议 没有 认证 的 内 容 , 无 法 推演 
出 上 面 给 出 的 目标 , 即 G1、.G2、G4 及 G6。 只 能 证 明 协 议 的 目标 G3 和 G5。 
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2. 协议 安全 目标 的 证 明 
根据 上 述 前 提 :, 证 明 下 面 的 协议 目标 : 
G3. 安全 密 钥 建立 : A believes (A 过 MA sees 4) 


六 
B believes (A =——>BAA sees 4) 


其 中 二 Fo((X,R,),(Y,R,)), 这 里 的 Fe。 是 协议 中 的 指数 的 乘法 函数 。 


G5. 密 钥 的 新 鲜 性 : A _ believes fresh(k) 
B believes fresh(k) 


由 于 协议 对 于 A 和 B 是 对 称 的 ,只 需 对 于 A 进行 推演 证 明 即 可 。 则 记 上 述 的 


所 有 前 提 的 集合 为 卫 。 


G3. 的 推演 ( 见 表 13. 11): P A believes(A < >BAA sees k) 


表 13.11 G3 的 推演 


推演 过 程 论 据 

i 记 p 一 A received((B,Y.[B,Y]1), xb)， 

内 一 A received [B,YJ! 
1. TT A believes 9 假设 P8 
2. TT Pi 一 内 公理 7 
3. TT A believesCP 一 办) Nec. 法 则 
4. TT A believes Pi 人 A believes(P 一 内) 一 A believes yn 公理 1 
5. T A believes A received[ B.Y]—! 1.3, 对 4 用 MP, 代入 
6. TT A believes PK,(T.k.) 假设 P1 
7. T A believes SV([B,Y]-1 ,A,, (BY)) 

令 gy = (A received [By ) APK,(T,k.) ASV(LB,Y lr es CB,Y)) a 
8. TT A believes 2 5,6,7 
9. TT pz 一 TsaidCB.Y) 公理 4 
10. TT A believes(g: >T said(B.Y)) Nec. 
11. T (A believes wz \ A believes(g,—>T said(B.Y))) 公理 1 


>A believes (T said (B.Y) 


12. TT A believes(T said(B.Y)) 8.10 对 11 用 MP 
13. TT A _ believesCT said(B.Y)—>(T said PKsCB.Y))) 假设 ,P9 
14. TT A believes (T said PK;(B,Y)) 12,13 对 公理 1 用 MP 
15. TT A believes((T said PK;(B,Y)) 人 
A received((B,Y.[B,Y]1), *,) >PKs(B,(Y, *,))) 假设 ,P4 
16. TT A believes PK3(B,(Y,. *,)) 14,15,P8 对 公理 1 用 MP 
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推演 过 程 


LE 


TA 


believes PK (A.(X.R,.)) 


假设 ,P2 


18. TT (PKs(B,(Y, *,)) APKs(A,(X,R)) -AB 


公理 5 

其 中 =Fo((X,R,),(Y,R,)) 
19. 有 A believes((PKs(B,(Y, xu)) 人 PKs(CA,CX,R.))-=A-“- 有) Nec. 
20. PP A believes A=——B 16,17,19 对 公理 1 用 MP 
21. TT A believes A received( (B,Y.[B.Y]! ox) 假设 P8 
22. T A believes (A received((B,Y.[B,Y]1),*6)™> i 

A sees((B,Y,[B,Y]srl) ,xb) es 

23. DT A believes A sees((B,Y.[B,Y]!),*%b) 21,22 对 公理 1 用 MP 
24. TT A believes(A sees((B,Y,[B,Y]J! ),*.)—A sees Y) 公理 11 和 Nec. 
25. T A believes A seesY 23,24 对 公理 1 用 MP 
26. T A believes(A sees((B,Y.[B,Y]1), *,) A sees * 公理 11 和 Nec. 
27. TT A _ believes A sees, xb 23,26 对 公理 1 用 MP 
28. TT A believes(A sees Y \A sees *b 一 AseesCY ,xb)) 公理 12 和 Nec. 
29. TT A believes A sees(Y,*.,) 25,27 对 公理 1 用 MP 
30. TT A believes A sees(X.R,..X.r) 假设 P5 
Sl atte ht es seesyY 公理 12 和 Nec. 
32. TT A believes A seesk 29, 30, 31 对 公理 1 

其 中 有 一 Fo(CCX,R.),(Y,Ro)) 用 MP 
33. T A believes(A + ~ BAA seesk) 20,32 对 公理 1 用 MP 

G5. 密 钥 的 新 鲜 性 ( 见 表 13. 12) : A believes fresh(k) 的 推 洽 。 

表 13.12 G5 的 推演 
推演 过 程 论 据 

1. TT A believes fresh(R,) 假设 P3 

2. TT fresh(R,)—~fresh(Fo((X.R,),(Y,R,))) 公理 18 

3. T A believes(fresh(R,)—>fresh(Fo((X.R,).(Y,R6)))) 对 2 用 Nec. 

4. TT A believes fresh(k) 


其 中 ==Fo((X.R,),(Y.R;,)) 


2.3 对 公理 1 用 MP 


通过 上 述 两 个 例子 的 推演 ,可 以 看 到 逻辑 推演 并 非 是 一 个 显然 和 轻松 的 事情 。 
往往 为 了 推演 一 个 目标 公式 ,需要 许多 的 中 间 结 果 。 而 这 往往 是 困难 的 。 在 逻辑 中 
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还 有 一 种 消解 法 ,对 于 证 明 系 统 有 极 大 的 方便 。 读 者 可 以 参考 后 面 的 参考 文献 。 
13.6 注 记 


本 章 主要 介绍 数理 逻辑 的 基础 知识 ,通过 它们 在 安全 协议 中 的 应 用 ,使 得 读者 体 
会 到 逻辑 系统 在 安全 协议 验证 中 的 应 用 原理 。 正 如 本 章 开 始 所 述 , 在 计算 机 科学 中 ， 
定义 了 形形色色 的 逻辑 系统 ,以 适应 各 种 不 同 应 用 领域 的 需要 。 在 近年 来 的 热点 研 
究 中 ,模型 检测 的 方法 得 到 了 长 足 的 发 展 , 其 中 逻辑 系统 发 挥 着 不 可 替代 的 作用 ( 参 
见 文献 [5J)。 我 们 介绍 了 模型 检测 的 基本 原理 ,但 是 限于 篇 幅 , 没 有 介绍 它们 在 安全 
协议 验证 方面 的 应 用 。 逻 辑 系统 在 访问 控制 人 侵 检 测 、 信 息 流 控制 等 方面 也 有 重要 
的 应 用 。 这 些 应 用 都 是 在 基本 逻辑 系统 的 基础 上 ,扩充 需要 的 功能 而 得 到 的 。 所 以 
本 章 的 内 容 是 基础 性 的 结果 ,是 必须 掌握 的 基础 知识 。 

本 章 的 内 容 主要 取材 于 参考 文献 [1].[4]。 由 于 篇 幅 的 限制 ,在 本 章 简略 地 介绍 
了 数理 逻辑 的 基本 知识 。 数 理 逻 辑 是 一 个 根深 叶 茂 ,并 且 仍 然 非常 活跃 的 学 科 ,在 数 
学 和 计算 机 科学 的 许多 场合 中 有 着 重要 应 用 。 同 时 ,数理 逻辑 本 身 的 发 展 , 产 生 了 许 
多 独立 于 传统 数学 的 工具 和 方法 。 和 希望 具备 本 章 的 知识 ,对 读者 进一步 阅读 相关 文 
献 ( 如 文献 [1]) 能 够 起 到 事半功倍 的 作用 。 
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信息 隐藏 历史 悠久 ,但 现代 信息 隐藏 技术 仅 起 源 于 20 世纪 90 年 代 , 它 指 将 特定 
用 途 的 信息 隐藏 在 其 他 信息 载体 中 ,使 得 它们 难以 被 消除 或 发 现 n'3。 由 于 人 类 感 
知 对 数字 多 媒体 (主要 包括 数字 图 像 .音频 和 视频 ) 的 一 些 成 分 变化 不 敏感 ,并 且 它 们 
的 应 用 已 经 大 量 普 及 ,现代 信息 隐藏 的 一 个 重要 特征 是 载体 数据 多 为 多 媒体 ,这 使 得 
信息 隐藏 和 数字 信号 处 理 Cc-5 有 了 直接 的 联系 ,数字 信号 处 理 成 为 信息 隐藏 的 基础 
性 方法 与 技术 。 本 章 的 目的 就 是 介绍 信息 隐藏 涉及 的 信号 处 理 方法 与 技术 。 

现代 信息 隐藏 主要 包括 数字 水 印 (watermarking)5 和 隐 写 (steganography)52] 
两 个 领域 ,前 者 又 包含 鲁 棒 ( 亦 称 稳健 ) 水 印 和 脆弱 水 印 。 鲁 棒 水 印 是 重要 的 多 媒体 
版 权 保 护 技术 之 一 : 它 指 将 与 版 权 有 关 的 信息 隐蔽 地 艇 入 数字 内 容 , 攻 击 者 难以 在 载 
体 不 遭 到 显著 破坏 的 情况 下 消除 水 印 ,使 得 授权 者 可 以 通过 水 印 验证 实现 对 版 权 所 
有 者 或 内 容 购 买 者 的 认定 。 脆 弱 数字 水 印 技术 将 防伪 信息 隐藏 在 数字 内 容 中 ,但 目 
的 却 是 以 后 通过 检测 发 现 算 改 ,由 于 防伪 信息 和 被 保护 数据 融合 ,方便 地 支持 了 电子 
图 文 的 流动 。 隐 写 指 利 用 可 公开 的 信息 隐藏 保密 的 信息 ,通过 隐蔽 保密 的 事实 获得 
新 的 安全 性 。 


14.1 基本 概念 


本 节 将 给 出 有 关 数 字 信 和 号 的 基本 概念 和 方法 。 
14.1.1 时 域 离散 信号 与 系统 


定义 14.1.1 对 模拟 信号 zx。(z) 每 隔 荆 时 间 采 样 一 次 ,得 到 时 ( 空 ) 域 离散 信号 
Xn) 一 To(t) |r = xnT), nEZ 《14. 1) 
其 中 ,Z 表示 整数 集合 ;x(n) 是 一 个 按 n 有 序 的 数字 序列 。 
计算 机 只 能 处 理 数字 信号 外, 它 指 时 间 和 幅度 均 离散 的 信号 ,其 中 幅度 取 接 近 的 
量化 值 。 本 章 一 般 假设 幅度 已 经 过 量化 或 量化 效应 对 信号 人 处理 的 影响 可 忽略 ,因此 ， 
如 无 特殊 说 明 , 以 下 提 到 的 时 域 离散 信号 也 指数 字 信 号 。 
信号 可 以 基本 地 分 为 随机 信号 忠和 确定 性 信和 号。 前 者 随 着 时 间 的 推移 没有 明显 
的 变化 规律 ,不 能 用 明确 的 数学 关系 描述 .后 者 则 可 以 。 常 用 的 确定 性 时 域 离 散 信 号 
包括 单位 冲 激 序 列 
6(n) 一 Lb 人 
0 7 和 关 0 
矩形 序列 
1 7E Lo,N 一 1 


Run) = 
a fo 去 痊 E03 一 杂 
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正弦 序列 z(z) 王 sin(Coz ) 与 复 指数 序列 x(n) 二 eT” 一 e”(cos (wn) 十 jsin(wn)) 等 。 
其 中 ,6(2z) 与 Ry(n) 是 习惯 性 的 标记 方法 ;w 为 数字 频率 ,对 于 被 采样 的 模拟 正弦 信 
号 xs(1) 二 sin(0Q21) ,由 于 z(z) 一 zo(C)|1,= 亲 一 sin(C2zT) 一 sin(woz) ,因此 w= 王 CT。 

数字 信号 处 理 常 对 时 域 离散 信号 施加 一 些 基 本 操作 。 对 zz) 与 zz) 执行 加 法 
得 到 y(Cz) 一 zz) 二 zz) ,其 中 两 个 序列 在 n 相同 处 两 两 相 加 ; 设 w,vEZ, 可 通过 移 
位 、 翻 转 和 缩放 将 xXx(70) 变 为 Xn 一 wu) 、x( 一 n) 和 xz(vn); 卷 积 是 另 一 个 常用 的 操作 ， 
设 mEZV,x(n) 与 x (nn) 之 间 的 卷 积 被 定义 为 


y(n) = > XIX Nn—m) = xn) zr (n) 《14. 2) 


多 数 对 时 域 离散 信号 的 操作 或 处 理 可 以 表示 为 时 域 离散 系统 对 这 类 信号 的 作 
用 ,其 中 ,最 常用 的 是 线性 时 不 变 系统 , 它 使 得 对 信号 的 处 理 和 分 析 变 得 更 简单 。 设 
TL， J 表示 系统 施加 的 作用 , 则 输入 与 输出 间 的 关系 为 y(n) 二 TLx(n)j, 则 对 线性 时 
不 变 系 统 可 定义 如 下 : 
定义 14.1.2 设 (一 TLzi(z)],ys(z) 一 TLzs(a)]。 若 时 域 离 散 系统 满足 
(1) 可 加 性 : 
yn) 二 y(n) = TLxi(n) + zx (n)] 《14. 3 
(2) 比例 性 : 
ayi1(n) = T[azxi(n)] 人 卫生， 二 入 
则 它 是 线性 系统 ; 设 m 为 任意 整数 ,车 系统 满足 
(3) 移 位 不 变性 : 
yn—m) = TLz(n—m)]J C14..53 
则 它 是 时 不 变 系统 。 线 性 时 不 变 (LTID) 系统 是 满足 以 上 两 个 要 求 的 系统 。 
例 14.1.1 设 a 与 5b 为 常数 , 现 考察 仿 射 系统 y(n) 二 T[x(n)] 二 ax(n) 十 b 是 否 
是 LTI 系统 。 由 于 
Yn) 一 TLzi(z)] = ari(n)+6 
yz2n) = T[zxs(n)] 一 azrz(z) 十 0 
y(n) 一 了 TLzi(z) 十 zz(z)] = ari(n) tarzsn) to A y(n) yn) 
因此 仿 射 系统 不 是 线性 系统 ;由 于 
yn—no) = arn—n) t+o = TLr(nm— no)] 
因此 仿 射 系统 是 时 不 变 系 统 。 
LTI 系统 对 输入 的 作用 可 以 用 系统 的 单位 冲 激 响 应 描述 ,为 此 这 里 给 出 以 下 
定义 。 
定义 14.1.3 设 时 域 离散 系统 TL。] 的 输入 为 单位 冲 激 序 列 6(n) ,系统 输出 的 
初 态 为 零 , 则 在 此 条 件 下 的 系统 输出 h(n) 二 TL6(n)j 为 该 系统 的 单位 冲 激 响 应 。 
定理 14.1.1 时 域 离散 LTI 系统 的 输出 等 于 输入 与 该 系统 的 单位 冲 激 响 应 的 
卷 积 。 
证 明 : 设 该 系统 TL， ] 的 单位 冲 激 响应 为 h(n) 二 TL6(n)]j, 输 入 为 x(n), 则 它 可 
表示 为 
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xXx(n) 一 > 工 (72)G(C72 一 772) 


则 系统 输出 为 


y(n) 皇 到 [ >) xm)oln—m)] 


二 p> zlm) TLO(n—m)] 


00 


一 hm = x0 hm) (14.6) 


其 中 ,前 一 步 利 用 了 式 (14. 3) 和 式 (14. 4) ,后 一 步 利 用 了 式 (14. 5)。 

对 式 (14.6) 描 述 的 系统 , 若 h(n) 为 有 限 长 度 , 则 称 为 是 有 限 冲 激 响 应 的 (FIR)， 
否则 ,系统 是 无 限 冲 激 响 应 的 (IIR)。FIR 系统 是 无 反馈 的 ,而 IIR 系统 是 有 反馈 的 ， 
可 用 有 反馈 的 常 系数 线性 差分 方程 

RM N 
y(n) = >) bz mm — Dariyn—k) (14.7) 
m=0 m=1 
或 等 价 的 
三 ary(n—k)= 2 bn ln—m) ao 一 1 (14. 8) 


表示 ,其 中 a; 和 均 为 常数 。 当 a; 二 0， I<i<K, 式 (14. 8) 也 可 描述 FIR 系统 。 

以 上 提 到 的 信号 或 系统 均 有 其 2 维 的 对 应 形式 。 例 如 , 设 2 维 LTI 系统 的 单位 
冲 激 响应 为 hm ,ns), 当 输入 为 2 维 时 域 离散 信号 zm zz) 时 .输出 为 它们 的 2 维 
卷 积 

wyGCma ,ma ) 一 3 三 hn 一 kisns — ka)ulki ,ks) (14.9) 


类 似 地 ,描述 2 维 LTI 系统 的 差分 方程 为 


M N 
ym ns) = > > 本 《一 


m=0 n=0 


M N 
— >) Pa my (nO— mn2 一 72) (14. 10) 


若 将 系统 的 处 理 看 作对 信和 号 的 变换 则 cm ,ns) 也 被 称 为 变换 核 。 当 hm .76) 二 
A COaa)ACzz) ,相应 的 系统 或 变换 被 称 为 是 可 分 离 的 。 


14.1.2 时 域 离散 信号 与 系统 的 频 域 分 析 
傅 里 叶 变换 与 Z 变换 是 分 析 时 域 离散 信号 与 系统 的 基本 手段 。 
定义 14.1,.4 若 n== 3 | z(Cz) | 二 一 , 则 


X(Cen) 一 FT[zGz)] = >) ze (14. 11) 
为 时 域 离散 信号 zn) 的 傅 里 叶 变 换 (FT)。 
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在 以 上 定义 中 ,X(e”*) 被 称 为 傅 里 叶 变 换 系 数 , 它 们 反映 了 xz(n) 在 不 同 频 率 上 
的 分 布 情况 ,是 重要 的 信号 特征 ; 3 |zl) 1 二 吕 保 证 了 傅 里 叶 变 换 系 数 的 收敛 , 因 


此 是 该 变换 存在 的 前 提 。 用 e” 乘 以 式 (14.11) 两 侧 并 在 (一 x,x) 内 对 w 积分 ,得 到 
逆 傅 里 叶 变 换 (IFT) 


= 二 去 | XCen)em dw (14. 12) 


定义 14.1.5 对 时 域 离 散 信号 zCz) , 若 >) | zx | 一 co, 则 zz 的 2 变 
换 (ZT) 为 


X(z) = ZT[z(z)] = 2) ze (14. 13) 


n=—o0 


其 中 = 为 复 变量 。 
Z 变换 也 需 保 证 级 数 和 收敛, 这 要 级 数 绝对 可 和 , 即 >) | zGD)x | 二 吕 , 称 该 


条 件 得 到 满足 的 Z 变量 取 值 范围 为 收敛 域 , 一 般 表示 为 R-, 二 1x| 二 R14;。 在 复 平 面 
上 ,类 似 地 用 前 述 获 得 IFT 的 方法 可 以 得 到 逆 Z 变换 为 


z(n) = IZT[X(z)] = i ceE (CR ,RE) (14.14) 


显然 ,Z 变换 是 傅 里 叶 变 换 的 推广 ,它们 之 间 的 关系 是 X(e*) 一 X(z)|.-w。 因 
此 ,它们 都 可 以 用 于 描述 线性 时 不 变 系 统 的 频率 特征 。 
定义 14.1.6 设 线性 时 不 变 系 统 的 单位 冲 激 响应 为 h(n) , 称 它 的 傅 里 叶 变 换 


五 (en) 一 六 hoDenm (14. 15) 


为 系统 的 传输 函数 . 称 它 的 Z 变 换 甩 (2) 二 > h(n)z™ 为 系统 的 系统 函数 。 


若 由 站 (定义 的 系统 的 输入 为 频率 为 w 的 复数 信号 序列 (1) 二 ee”, 则 输出 为 


y(n) 一 >) ji(R)enor 一 em > hlk)e = emH (er) 


k=—oo k=—oo 


因此 ,传输 函数 也 称 为 频率 响应 。 
例 14.1.2 现 推 导 延 迟 系 统 y(n) 二 zln 一 nz) 的 频率 响应 。 根 据 以 上 分 析 , 可 
以 用 复数 信号 序列 z(Cz) 一 ex" 作为 系统 输入 求 得 频率 响应 ,因此 , 令 延 迟 系统 的 输入 
是 xz(n) 二 ew” , 则 有 
IN) = er = Emaew 
因此 频率 响应 为 H(e*) 一 ea。 
定理 14.1.2 车 yn) 一 zm) *h(n), 则 YC(e*) 一 H(e*)X(e*)。 


证 明 : 由 于 yn 多 _TODRhCnm) , 则 


Y(Cen) = FT[y(n)] = [ > 工 (777) 刀 (7 一 1) ]e 


358 
第 4 章 ”数字 信号 处 理 方 法 与 技术 | 


记 上 有 二 nn 一 x, 则 


Yle*) 一 >) >) hrmn) ei eion 


k=—o0 m=—oo 


= >) he D) rm) emim 一 有 (ee)XCen) 
这 二 


设 XX(z) 二 ZT[x(n)] 与 厅 ( 思 一 ZT[ACo] 的 收 仇 域 分 别 为 CR RoR 
则 也 类 似 地 存在 Y(z) = 二 ZT[y(n)j]= 二 XX(z)H(z), 新 的 收敛 域 是 (max(R,_,R,_)， 
min(R,; ,Ri+ ))。 因 此 对 由 式 (14.7) 描 述 的 一 般 性 LTI 系统 ,存在 


bp bnz 
H(z) 一 工 (< 2 (14. 16) 
X(z) 
1 一 Se 训 
m=1 
若 用 ZT2[，] 表 示 2 维 ZT, 对 由 式 (14.9) 描 述 的 二 维 LTI 系统 类 似 地 有 
Yl(z1i,z2) = H(zi,z2)X(zi ,22) (14.17) 


其 中 ,Y (zi,zs)= 二 ZT2[yCnm,n)], XC(zi,z2)=2ZT2Lzr (Cm, ns)], H(z, zo)= 
ZT2[hCm ,ns)]。 对 由 式 (14. 10) 描 述 的 二 维系 统 ,其 系统 函数 为 


M N, 


ey 六 六 Bsn 
H(z1 ,zs) S12 I (14. 18) 
Xz ,ze 
全 区 CQmS1T Za” 
m=1 n=1 


14.1.3 ”时 域 离散 平稳 随机 信号 及 其 统计 描述 


平稳 随机 信号 指 统计 特性 不 随时 间 变 化 但 不 能 用 明确 数学 关系 描述 的 信号 。 这 
类 信和 号 不 但 常见 ,并 且 将 随机 信号 近似 看 作 平 稳 随 机 的 :可 以 简化 对 一 些 信号 的 处 理 
与 分 析 。 

严格 定义 时 域 离散 平稳 随机 信号 需要 先 描述 它 的 概率 分 布 函 数 。 时 域 离 散 随机 
信号 可 以 被 表示 为 不 同时 间 点 上 的 随机 变量 序列 (7) ,nn 三 1,2,…。 若 x(n) 幅 值 连 
续 , 它 的 概率 分 布 函 数 为 

Fi(s.n) = Pr(z(n) < s(n)) (14. 19) 

其 中 ,sz) 是 x(n) 的 样本 值 ;Pr(，) 表 示 概 率 。 车 s(n) 对 不 同 n 均 相同 ,可 以 将 上 
述 分 布 函 数 简化 表示 为 F,(s,n) 二 Pr(z(n) 三 s)。 在 以 上 情况 下 均 有 
dF.(s,n) 

ds 


p(ssn) = F,.(s,n) = | Psmds (14. 20) 


前 者 是 后 者 的 概率 密度 。 若 z(z) 的 可 能 取 值 是 离散 的 cl ,as,…, 则 可 用 分 布 率 
PrCz(z) =a), i= 1,2,.… (14. 21) 
描述 z(z) 的 随机 特征 。 若 同时 观测 zx(n) 中 的 NN 个 连续 变量 zx 一 (CzCm),…， 
工 nn)), 则 xX 的 分 布 函 数 为 
FN(S NM 9 9 SN oNN) = Pr(zm) SE ,TNN) SE sy) C14. 22》 
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al Hd a 


But CBi rm sy so ny) ee ld. 23 
并 且 类 似 地 有 
FN (si 711 ，。… SN oNN) 
-| | | pzN (sl1 ,121 °° ，SN 12N )dsldsz…dsN (14. 24) 
de 4 SN 


若 x(m),…,zxlnn) 的 可 能 取 值 分 别 是 离散 的 Can,ars…),… 《am vanz，"…), 则 可 
用 分 布 律 

Pr(z(m) = a TNN) 一 CNvw)， llr"sin 一 1y25saN 《L425) 
描述 zx 的 随机 特征 。 

定义 14.1.7 对 时 域 离散 随机 信号 z(Cz) ,zx 一 1,2,…:' 设 N=1 为 任意 不 大 于 变 
量 个 数 的 正 整 数 ,如 果 

FN (si1o71 十 712 ,SN onN 十 712) 
一 下 .N(si，721 9SN 2N)， 7 72N 712 EL (14. 26) 
则 z(z) 是 平稳 随机 的 。 

由 于 式 (14. 26) 要 求 的 条 件 在 实际 情况 下 很 难 满足 ,由 定义 14. 1.7 给 出 的 平稳 
随机 信号 通常 被 称 为 严 平稳 的 。 许 多 随机 信和 号 不 是 严 平 稳 的 ,而 被 称 为 宽 平 稳 的 , 设 
已 (。) 表 示 数 学 期 望 ,z(z) 为 宽 平 稳 的 时 域 离散 随机 信和 号, 它 的 均值 和 方差 不 随时 间 
改变 ,这 可 分 别 表 示 为 

mz = E(x(n)) = E(xz(nm)) (14. 27) 
og = Var(z(n)) = E(| zx(n)—m:. |2) 
= E(| zn+m)—m,. |2) (14. 28) 
同时 ,xz(mw) 的 自 相 关 函 数 、 自 协 方差 函数 以 及 与 同类 信号 y(n) 的 互相 关 函 数 均 是 时 
间 差 x 的 函数 ,这 可 分 别 表 示 为 


gz nontm) = E(xr" DXntm)) S$, Cm) (14. 29) 

cova (nntm)=E ((r(n)—m)" (rntm) m2) ) 全 cov Gm) (14. 30) 

gs ont) = E(xr” GD yntm)) Sg, (0m) (14.31) 
其 中 ,上 标 ** ”表示 共 思 ;会 表示 “ 记 为 "。 显 然 , 将 信号 作为 宽 平稳 的 将 有 助 于 简化 
相关 的 处 理 和 分 析 。 


功率 谱 密 度 ( 亦 简称 功率 谱 ) 也 是 刻画 宽 平稳 时 域 离散 随机 信号 的 重要 数字 特 
征 , 它 与 自 相 关 函 数 分 别 从 频 域 和 时 域 反 映 了 信号 的 二 阶 统 计 特 性 。 对 以 上 xz(n)， 
它 的 功率 谱 密度 可 以 表示 为 


Br) 一 >) $m) em C14. 32) 
即 zx(7) 功 率 谱 密 度 是 其 自 相 关 函 数 的 傅 里 叶 变 换 , 则 也 有 
ME 去 | ecer) em dw (14. 33) 


LTI 系统 常用 于 处 理 平稳 时 域 离散 随机 信号 ,关于 它 对 相关 统计 特性 的 影响 有 以 下 
的 定理 。 
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定理 14.1.3 设 LTI 系 统 的 单位 冲 激 响 应 为 h(n), 频 率 响应 为 及 (e*), 输 入 
工 (7) 是 宽 平稳 时 域 离散 随机 信号 ,$, (mm) 与 Ge (e*) 分 别 是 它 的 自 相 关 函 数 和 功率 
谱 密 度 , 若 

(1) gz G20) 与 hn) 绝对 可 和 ; 

(2) 立 Sg (RhD gan—k) 一 co; 


k= 一 con 二 一 oo 

则 有 : 

(1) 输出 y(7) 二 h(n) x zx(n) 也 是 宽 平 稳 的 ; 
(2) y(n) 的 均值 和 相关 函数 分 别 为 


my 一 mz 2 h(n) (14. 34) 


gw (non 二 mm) 一 Sh) bp hr gw m+k—r) 人 gm) (14.35) 


k=—o0 f= 


(3) y(n) 的 功率 谱 密 度 为 
Be*) = |H(e)|’®,, (en) (14. 36) 
例 14.1.3 理想 白 噪声 在 各 个 频率 上 的 能 量 相 等 ,因此 是 一 类 具有 常数 功率 谱 
密度 
G- (en) 一 只 对 全 部 wm 
的 信号 ,其 中 cz 为 常数 。 若 定义 白 噪 声 z(z) 的 功率 为 下 (zs(a)), 则 
ECz?(n)) = 由- (0) = 去 | Be em) do 去 | ado = 


因此 白 噪 声 为 常数 功率 。 若 使 白 噪 声 通过 一 个 未 知 的 系统 ,根据 式 (14. 36) 有 
ECep) 一 | Hler) |?02 

其 中 ,@, (e*) 是 输出 的 功率 谱 密度 ;H(e”) 是 未 知 的 频率 响应 。 由 于 B, (e*) 可 通过 输 

出 计算 ,因此 在 白 噪 声 输入 下 | Ce")|1? 容易 被 估计 ,这 是 辨识 系统 的 常用 方法 之 一 。 


14.1.4 信号 质量 评价 


由 于 不 可 避免 地 引入 了 噪声 ,信息 隐藏 会 影响 载体 信号 的 感知 质量 。 为 衡量 变 
化 的 程度 ,当前 普遍 采用 主观 评价 和 客观 评价 两 类 方法 ,前 者 主要 依靠 人 的 感知 系统 
(视觉 和 听觉 ) 进 行 评价 ,后 者 需要 对 信号 进行 计算 。 以 下 以 尺寸 为 MXN 的 2 维 信 
号 为 例 给 出 几 个 常用 评价 标准 的 计算 方法 及 其 相互 关系 : 

(1) 均 方差 (MSE) 


M N 
MSE = 2 (Tn) — I m,n))? (14. 37) 
其 中 ,TCm,n) 为 原始 信号 ;了 (m,n) 是 引入 噪声 后 的 信号 。 
(2) 信 品 比 CSNR) 
M N 
了 >) DTon,m’ 
m=1 n=1 


SNR =10lg =g—# 
> DITm,m) —T (m,n))? 
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101g -二 = ”一 ! (dB) (14. 38) 
(3) 峰值 信 噪 比 C(PSNR) 


PSNR =10lg MINS 


M N 
3 >) (CTICz sm) — I’ (m,n))’ 
m=1 n=1 
om_P 
一 10lg MSE 
其 中 P 是 信和 号 的 峰值 , 即 最 大 可 取 的 值 。 


(dB) (14. 39) 


14.2 信号 变 


以 上 介绍 的 全 里 叶 变 换 和 Z 变换 常用 于 信号 分 析 , 而 本 章 介 绍 的 变换 常用 
于 对 实际 信号 的 处 理 或 编码 ,它们 的 变换 系数 也 形成 了 信息 隐藏 最 基本 的 髓 
入 域 。 


14.2.1 离散 傅 里 叶 变 换 


定义 14.2.1 设 x(n) 为 长 度 为 M 的 有 限 长 时 域 离散 信号 序列 , 则 它 的 N 点 离 
散 傅 里 叶 变换 CDFT ) 为 
N 一 1 


X(k) = DFTLz(z)] = 2 re "OREAN=1 (14. 40) 


其 中 ,N 三 Mik 为 整数 。 
令 


N—1 
zx(n) = IDFTLXCE)] = 二 SX) Rm, On<N—1 (14.41) 
k=0 


可 验证 式 (14.41) 是 以 上 情况 下 的 逆 DFT(IDFT)。 
DFT 是 典型 的 正 交 变换 , 若 将 式 (14. 40) 与 式 (14. 41) 分 别 写 为 和 二 FX 与 
一 FIX 的 矩阵 形式 , 则 变换 矩阵 下 满足 FT 一 ,其 中 FT 是 下 的 转 置 。 
根据 式 (14. 40) 和 式 (14.13) ,可知 DFT 与 Z 变换 的 关系 为 
Xk) 一 和 (=) | in (14. 42) 
DFT 主要 还 包括 以 下 的 性 质 。 
性 质 14. 2. 1( 线 性 性 质 ) 若 zi(Cz) 与 zs(Cz) 的 长 度 分 别 为 Ni 与 Nas, 取 N 一 
max(Ni,N;), 则 
DFT[azxi(n) brs(n)] = aDFTLzi (Cn) oDFTLzz (n)] (14. 43) 
其 中 a 与 5 为 常数 。 
性 质 14. 2. 2( 周 期 性 ) X(k) 二 DFT(z(n)) 与 x(n) 二 IDFT(X(k)) 均 以 N 为 周 
期 , 即 对 任意 整数 m, 在 式 (14. 40) 中 有 XC) 一 XCE 十 2N) ,在 式 (14. 41) 中 有 
工 (n) 二 Tn 十 mNN), 它 在 整个 时 间 轴 上 相当 于 对 原 输入 信号 进行 了 周期 为 N 的 延 
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拓 , 记 为 区 (nn) 二 x (mn)n, 原 输入 的 长 度 为 N 的 信号 可 以 表示 为 x (n) 二 蔗 (n)Ry(n)， 
其 中 ,Rw (mw) 为 长 度 为 N 的 矩形 信号 。 
性 质 14. 2.3( 时 域 循环 移 位 定理 ) 若 y(n) 二 荆 (n 十 m2)Rw (7), 则 


Y(k) = DFT[y(z] = er 第 XGO ，0 雪 有 入 N 一 1 (14. 44) 
性 质 14. 2.4( 频 域 循环 移 位 定理 ) 车 Y(k) 二 XX(k 十 m)Rw Ck), 则 
yn) = IDFT [Y(k)] = em 逢 (2z) ， 0 委 & 和 过 六 一 1 (14. 45) 


其 中 XC) 是 XC) 以 N 为 周期 的 延 拓 。 
性 质 14. 2. (循环 卷 积 定理 ) 若 XCR) 王 Xi(CR)Xs。 CR)， XI CD) 一 DFTLzCz)]， 
Xs(k)=DFT[z2 Cn) ,Zin)=z Ca)Nw 过 xz(2) 一 zz (za)N， 则 


N, 


x(n) = IDFTLX(k)]J 一 >) TT nO— mRNn) 


m=0 


人 
一 区) Ts TIN Oo— mRNn) 会 ZX1(n) © zs Cn) (14. 46) 


m 


性 质 14. 2.6( 能 量 守恒 ) 


AN 一 1 
之 | za) |? 一 方 之 | XR) | (14. 47) 
性 质 14.2.7( 共 力 对 称 性 ) 若 XC) 王 DFTCzGa)), 则 XC) 一 X" CN 一 4)。 
例 14.2.1 以 上 DFT 的 很 多 性 质 都 与 它 隐 含 的 周期 性 相关 ,这 一 性 质 可 以 用 
一 个 周期 信号 的 离散 傅 里 叶 级 数 C(DFS) 表 示 来 阐明。 若 式 (14. 40) 中 的 zz) 为 周期 
信号 , 则 该 式 与 式 (14. 41) 分 别 被 称 为 DFS 的 分 析 式 和 综合 式 。 取 周期 信号 


0 
若 XC) 王 DFTCzGCz) ), 则 


区 1 7 一 rrN 
工 (72) 一 dn—rN) 一 
x(n > nr fo nN 


其 中 > 为 任意 整数 。 取 工 Cz) 的 一 个 周期 进行 DFS 分 析 : 
N=—1 
Xk) = Dn) er ~ DFTI[T(Cn) |o<u<wi] 一 e =1 


n=0 


基于 上 述 变 换 系 数 ,将 荆 (n) 表 示 为 


oo N=-1 es 
Cn > Sn—rN) 坟 > etn 一 IDFTLX (k)] 
r=—o0 r=0 


因此 ,对 工 (z) 中 一 个 周期 进行 DFT 和 IDFT, 最 后 得 到 的 IDFT 输出 正 是 原来 的 周 
期 函数 。 
信息 隐藏 算法 可 以 将 信息 嵌入 DFT 系数 的 幅度 和 相位 中 ,但 根据 性 质 14. 2. 6, 这 
种 上 入 不 能 改变 系数 的 共 恩 对 称 性 ,否则 IDFT 不 能 保证 将 复数 输入 映射 到 实数 域 。 
设 zCma ,nz) 为 包含 Ni XNa 个 样 点 的 二 维 信 号 , 则 二 维 DFT 和 IDFT 可 以 分 别 
表示 为 
RRsks) = DET2Lz(Cn svs}] 


= >) > ro ,ns) ean ei (14. 48) 


mm] =0ng =0 
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zn) 一 IJDEFT2LXCA ,ska)] 
Ni 一 INz 一 1 
= bY DX seam ce 和 om (14. 49) 
NiN2# =0k,=0 
其 中 局 与 为 整数 ,并 且 0 三 声 Ni 一 1,0 志 kp 声 Nzs 一 1。 可 以 看 出 ,二 维 DFT 和 
IDFT 的 变换 核 都 是 可 分 离 的 , 式 (14. 48) 与 式 (14.49) 可 以 分 别 写 为 


KN xn, = Fr,xN, XN xN, FN,xN, (14. 50) 


XNixN, 一 FN xN, XN,xN, FR,xn, Clad 513 
14.2.2 离散 余弦 变换 


与 以 上 DFT 不 同 ,离散 余弦 变换 (DCT) 及 其 道 变换 (IDCT) 均 是 实数 域 之 间 的 
映射 。 
定义 14.2.2 设 z(z) 是 长 度 为 N 的 有 限 长 时 域 离散 信号 序列 , 则 它 的 DCT 为 


N~—1 
Xk) = DCTLz(m)] 一 人 /总 ecCeDzCDcos Strk (14. 52) 
n=0 


其 中 c(0)==1/V2 , 当 有 =1,2,…,N 一 1 有 c(k)==1。 
式 (14. 52) 右 侧 中 的 每 个 求 和 项 可 以 写成 不 同 切 比 雪夫 多 项 式 与 相应 x(n) 的 乘 
职 , 则 根据 切 比 雪夫 多 项 式 的 正 交 性 ,可 验证 z(z) 的 IDCT 为 


SE 2 XA 22 十 1 
zn) = IDCTLX(CE)] = / DR XG) cos Link (14. 53) 
rz(n [ | N22 cos 2N T 3 
DCT 和 DFT 都 是 正 交 变换 , 均 常用 于 对 信号 进行 频 域 分 析 。 以 下 定理 反映 了 
它们 内 在 的 联系 。 


定理 14.2.1 若 将 x(n) 延 拓 为 
Xn) 7 一 0,1,…， 六 一 1 
{ n= 二 N,N+1,.…,2N—1 


Xe(n) 一 Cha 34 


则 对 zz0) 的 N 点 DCT 可 以 表示 为 
Xk) 一 DCT[Lz(z)] 


= / 误 Refe 郊 DFT[zeCo])， 二 


其 中 ,DFT[Lz。(Cz)] 为 对 xz.(Cz) 的 2N 点 DFT.Re (。} 表 示 取 实 部 。 
证 明 : 根据 式 (14. 52) 和 式 (14. 54) 有 


2N—1 
Xk) =DCTLz. (00D] 一 /总 21cCzsCODRe (ew) 
气 


2N—1 
久 清 _ ja 
一 [N Re{ Zr)e 了 2N } 
2N 一 1 


一 / 芒 Re {Ee 注 cp) > ze00De 加 )} (14. 56) 
es 


一 | 各 Re {e 堪 CCE)DFTLze Cn)]} 
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当 & 二 0,1,… ,NN 一 1, 显 然 有 DCT[x。(n)]= 一 DCTLx(n)], 因 此 定理 得 证 。 
若 将 X(k) 延 拓 为 


Xk) k=0,1,%…,N—1 
六 ky = (14.57) 
& 一 N,N 二 1,…,2N 一 1 
还 可 以 类 似 地 证 明 
zln) =IDCT[X(#)] = IDCT[LX.(#)] 
N 
一 /名 De KRe fen 
N i 
加 可 二 ormk 
= /NRe {ecCe) >) (Xe 地) ei 兴 } (14. 58) 
站 k=0 


= /NRe{ c(k)DFTLX。Ck)e 满 ]} 


DCT 的 以 上 性 质 不 但 揭示 了 它 与 DFT 的 内 在 联系 ,还 说 明 计算 DCT 可 以 通过 
计算 DFT 得 到 。 由 于 DFT 存在 快速 算法 FFT(Fast Fourier Transform) ,这 使 计算 
DCT 也 存在 相应 的 快速 算法 ,促进 了 它 的 应 用 。 

设 zm ,nz) 为 包含 Ni XNN; 个 样 点 的 2 维 信 号 ,2 维 DCT 和 IDCT 可 以 分 别 表示 为 

Xkisks) =DCT2[zCn sn2))] 


N1—1N,— 


C1 (ki)cs (ke)T Cn ,722 ) 
AM 二 A 33 ce ee 


es s(t] (14. 59) 
x(n:nzs) =IDCT2[X (ki ,ks))] 
Ni 一 IN2 一 


C1CRI)czCR2 )XCRI ,ks) 
AM 二 RD ， 人 


2za 十 1 『2za 十 1 
er Ar]jeos (St} kn] (14. 60) 


其 中 ,ci(0) 一 cz(0) 一 1/V2 , 当 妈 或 ko 一 1,2,…,N 一 1, 有 ci(k) 一 co(k) 一 1。 另 外 ， 
一 维和 二 维 DCT 也 存在 与 DFT 类 似 的 矩阵 表示 。 
14. 4. 1 小 节 将 给 出 2 维 图 像 DCT 变换 的 实例 。 


14.2.3 离散 时 间 小 波多 分 辨 率 分 解 


与 前 述 的 信号 变换 不 同 . 离 散 小 波 变换 中 同时 反映 了 信号 的 时 域 和 频 域 特性 , 因 
此 其 输出 被 称 为 时 频 域 。 
定义 14.2.3 设 z(Ct) 为 连续 时 间 信 号 :小 波 函 数 yj.:(t) 定 义 在 有 限 区 域内 ,其 
中 了 与 & 是 两 个 整数 参数 ,它们 可 将 z(z 展 开 为 
x(t) 一 之 2 (Rn, jrkEZ (14. 61) 


则 计算 aj(k) = 二 二 z()， (二 就 是 对 zt) 进 行 离散 小 波 变换 (DWT) ,其 中 


人 
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二 。 ,二 表示 计算 内 积 : 若 t 为 离散 的 , 则 变换 为 离散 时 间 小 波 变 换 (DTWT)。 

值得 注意 的 是 ,DWT 仅仅 参数 是 离散 的 。 常 用 的 小 波 函 数 有 以 下 形式 , 即 

内) 一 2 gp(2it — k) (14. 62) 
具有 以 上 形式 的 小 波 函数 常 被 称 为 二 进 小 波 ,通过 参数 的 变化 ,它们 构成 了 小 波 变换 
的 基 函 数 集合 ,其 中 y(z) 被 称 为 母 小 波 函 数 。 

DTWT 一 般 不 直接 使 用 ,而 是 在 离散 时 间 小 波多 分 辩 率 分 解 (WMRA) 中 发 挥 
作用 。 后 者 是 最 常用 的 时 频 处 理 和 分 析 方 法 之 一 , 它 的 输出 不 但 包含 小 波 系数 ,也 包 
括 所 谓 的 尺度 系数 。 以 下 将 逐步 介绍 这 些 概 念 及 其 关系 ,为 方便 论述 ,这 里 先 基 于 
DWT 和 函数 空间 分 解 的 概念 引出 WMRA ,再 由 后 者 给 出 DTWT 通常 的 使 用 和 计 
算 方 法 。 设 LC(R) 代 表 2 次 可 积 函 数 空间 ,DWT 可 以 将 任意 z(t) EL?(R) 分 解 为 由 
加 号 连接 的 两 部 分 , 即 

zDD) = >) aj Ra 2 Da Rat) (14. 63) 
j<J] k JJ 人 
由 于 前 一 部 分 的 小 波 频 率 较 低 , 因 此 被 称 为 概貌 信息 ,这 样 ,第 2 部 分 相应 地 被 称 为 细节 
信息 。 由 于 小 波 函 数 yy (42) 待定 ,不 妨 取 J 二 0, 而 由 于 它们 是 不 同 的 基 函 数 , 因 此 存在 
Vo = Span{p (0D)}, W, = Span{gr(D} 且 jj 之 0 (14. 64) 
其 中 ,V。 为 全 部 yo4(2) 张 成 的 空间 ;W; 为 yj. (?) 张 成 的 空间 ,其 中 j 三 0, 也 即 这 些 
空间 中 任意 函数 可 按 相应 参数 下 的 小 波 基 函数 展开 ;由 于 zz(1)EL?(R), 式 (14. 63) 
蕴含 着 


Vo BW DWIiOD:…=L’(R) (14. 65) 
VDBW);=Vjr j=0 (14. 66) 
"DW-.: BW-_-: DW, BWIODWD…=L(R), V-。 = (14. 67) 
“VEEV EwWEeEWeEVv Em ELR (14. 68) 

其 中 , 馈 为 函数 空间 的 直 和 ;名 表示 空 集 。 另 取 
Wie Span{b.r 2)} = Span{ go.r (2)} (14.69) 


其 中 ,go (2) 被 称 为 在 尺度 为 零 并 且 移 位 为 & 下 的 尺度 函数 (以 下 将 给 出 其 存在 条 
件 ) ,使 它们 仅 通过 移 位 即 可 张 成 Vo;, 则 zi) 可 以 展开 为 
Zz) = Peo po + Dad Rpalt), jskEL (14.70) 


其 中 ,co Ck) 为 尺度 0 下 的 尺度 系数 ;d;(k) 为 尺度 j 下 的 小 波 系数 。 不 同 尺 度 下 的 尺 
度 系数 和 小 波 系数 构成 了 WMRA 的 输出 。 以 上 分 析 说 明 , WMRA 的 输出 包含 了 
DWT 在 部 分 尺度 下 的 输出 。 
构造 WMRA 需要 确定 尺度 函数 ,而 尺度 函数 也 能 确定 小 波 函 数 。 设 待定 的 尺 
度 函 数 也 有 
pit) 一 27? (2it — Rk) (14.71) 
的 形式 ,由 于 VoCVi,V。o 中 的 函数 po,o(t) 二 q(t) 与 Jowo(t) 二 y(t) 均 分 别 可 以 由 Vi 
中 的 基 函 数 pe(i) 二 V2g(2t 一 &) 生 成 , 则 存在 以 下 关系 : 
G0) = >) holn) Vag2t—n) C14. 72) 


表 
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YD) 一 Philn) Vig2t—n) 


以 及 以 下 定理 。 
定理 14.2.2 尺度 系数 cj;(k) 满 足 
ck) = DY hoCm— 2k) cm Cm) 
证 明 : 由 式 (14.71) 和 式 (14. 72) 得 到 
GD — Rk) 一 Pholn) V22p(2(21 一 有 ) 一 7 


一 >)ho(z) V29p(2(21 一 人 ) 一 2 
令 m= 二 2k 十 n, 上 式 变 为 
GD — Rk) = Dholm— 2k) VIG — mm) 


由 于 
Vj; = Span{2/* 9(2i+ —k)) 
若 f(t) EViri;, 则 可 以 在 其 中 展开 为 
f00) = > cp (RE)20HD42p(2HHt 一 人 ) 
大 


由 于 Vin 二 Vj 十 Wj;,f(t) 也 可 展开 为 


(ti) 一 Dej R21 gC2it — RR) 十 Dd Ck)2 yp(2it —k) 
大 k 


由 于 


ci(R) == f(t) ,g(t) = [fev 2 gen —k)dt 


根据 式 (14.75) 有 


cj CE) = Dholm— 28) {fC 2 p21 一 Ad 一 DhoCm— 2k) cn Cm) 


类 似 地 可 以 证 明 以 下 定理 。 
定理 14.2.3 小 波 系数 d;(k) 满 足 
dj(k) = DY hi Gn — 2k) cn Gm) 


定理 14.2.4 尺度 系数 < (6 与 小 波 系数 ci CR) 满足 


cm CE) = De holk om 2m Dd; hlk— 2m) 


定理 14.2.5 若 V 与 Wo 互 为 正 交 补 空间 , 即 
fg — my — ma =0 
则 
hiln) = 填 (—1)"ho (NO—n) 
其 中 N 为 任意 选择 的 奇数 ,并 且 
Dhohn—2£) 一 0 


(14.73) 


(14.74) 


(14.75) 


(14. 


(14. 


(14. 


(14. 


(14. 


76) 


77) 


78) 


79) 


80) 
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根据 定理 14. 2. 2 和 定理 14. 2. 3, 可 以 仅 构 造 两 个 系数 分 别 是 ho (一 0) 与 hh (一 n) 
的 滤波 器 (分 别称 为 尺度 滤波 器 和 小 波 滤 波 器 .或 称 为 小 波 滤 波 器 组 ) 实 现 离散 时 间 
WMRA。 方 法 是 , 令 输 入 数据 cj (n) 二 x(n), 随 后 逐 级 (stage) 分 解 ,这 也 是 DTWT 
最 常用 的 计算 和 使 用 方法 。 图 14. 1 给 出 了 一 个 两 级 双 通 道 (band) WMRA 的 计算 
流程 ,其 中 也 附带 给 出 了 函数 空间 的 变化 , y 2 表示 下 采样 (或 称 二 抽取 ) , 即 每 隔 一 
个 样 点 取样 一 次 ,而 舍弃 跳 过 的 样 点 。 


hn) Fe 12 上 一 
卢 Wo 
XN-c» rv co 上 | 2 do 
hn) pe 12 pp 


加 
| | hn) | 巡 oe 


14.1 两 级 双 通 道 WMRA 的 计算 流程 


根据 定理 14.2.4, 可 以 仅仅 构造 两 个 系数 分 别 是 ho(n) 与 hi(n) 的 滤波 器 实现 离 
散 时 间 WMRA 系数 的 综合 。 方 法 是 , 逐 级 输入 数据 cj (n) 与 dj (nn) 并 计算 cjw1 (nw) 即 
可 ,这 也 是 逆 DTWT 最 常用 的 计算 和 使 用 方法 。 图 14. 2 给 出 了 一 个 两 级 双 通 道 
WMRA 系数 的 综合 计算 流程 ,其 中 也 附带 给 出 了 函数 空间 的 变化 ,和 2 表示 上 采样 
(或 称 二 插值 ), 即 每 隔 一 个 样 点 插入 一 个 样 点 。 


WW 
1 +12 Fel hn) 
这 dl y 
1, 汪 站 2 
a 12 上 如 (全 元 X(N)=cy 
12 Fe ho(n) 


"| 上 ~ 二 


14.2 两 级 双 通 道 WMRA 综合 的 计算 流程 


以 上 分 析 结 果 进 一 步 简 化 了 WMRA 系统 的 构造 , 它 将 问题 仅 归 结 为 获得 系数 
ho(n)。 研 究 表 明 ,no(z) 需 要 满足 一 些 必 要 的 性 质 . 因 此 .可 以 通过 构造 或 求解 满足 
这 些 性 质 的 ho(z) 得 到 WMRA( 见 表 14.1)。ho(n) 基 本 的 性 质 包 括 : 

性 质 14. 2. 8( 规 整 性 ) ho (7) 应 满足 >)noCz) 一 1。 

性 质 14. 2.9( 双 正 交 性 ) jz) 应 满足 > hoCz)jo(Cz 一 2R) 二 0,k 关 0。 

性 质 14. 2. 10( 低 通 性 ) ho() 应 满足 >) (一 1)woCz) 一 0。 

表 14.1 部 分 Daubechies 小 波 滤 波 器 组 对 应 的 系数 ho (n) 


长 度 | ho(0) ho (1) ho (2) ho(3) ho (4) ho(5) ho (6) ho(7) ho (8) ho (9) 


4 0.4830 | 0.8365 | 0.2241 |—0.1294 / f x, / , / 
6 | 0.3327 | 0.8069 | 0.4599 | 一 0.1350| 一 0.0854| 0.0352 / / / 
8 | 0.2304 | 0.7148 | 0. 6309 | 一 0.0280| 一 0.1870| 0. 0308| 0. 0329 | 一 0. 0106 / 


10 0. 1601 | 0. 6038 | 0.7243 0. 1384 | 一 0. 2423 | 一 0. 0322| 0. 0776 | 一 0. 0062 | 一 0. 0126 | 一 0. 0033 
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在 二 维 信号 情况 下 ,可 以 类 似 地 将 函数 空间 WwW+ 划分 为 Vj 一 VW} W? 中 Wi， 
其 中 ,Vj; 、W} 、.W3? 与 W3 是 相互 正 交 的 子 空间 , 则 


LR’) 一 电 (Wi OWI OW), V-- 王 好 1481) 
存在 2 维 变量 可 分 离 的 尺度 函数 
Pimn TN) 一 jim (XT) pi,n(y) (14. 82) 
它 是 V; 的 正 交 基 函数 ,j ,m,n€EZ, 也 存在 变量 可 分 离 的 小 波 函 数 
mn Ty) 一 Pin TI pn Cy) (14. 83) 
mn Ty) = pm TX) Pin Cy) (14. 84) 
mn (Ty) = pm Tn Cy) (14. 85) 


分 别 是 W} 、W? 与 Wi; 的 正 交 基 函 数 。 则 f(z,y) 可 展开 为 
fx3y) = Deolks Dopon Cz po y+ DD) Ddik,D oa zhuly) 
kl 


j=0 kl 


证 六 Dad? ks Dr r) py) 


j=0 k,l 


十 >) Da Ck, Da lr ply) (14. 86) 


j=0 k,l 
其 中 j,k,LEZ。 通 常 称 cj(k,L) 组 成 第 j 级 LL 子 带 ,d}(k,/) 组 成 第 j 级 LH 子 带 ,qd 
(k, 人 ) 组 成 第 j 级 HL 子 带 ,d; (k, 人 ) 组 成 第 j 级 HH 子 带 。 对 二 维 WMRA 相应 地 有 


ek) = DhoGm— 2k hon— 2Dem m,n) (14. 87) 
di (kD) = Dholm— 2R hn — 2Dem (mn) (14. 88) 
dk = Dm— 2 ho Cn— 2Dem m,n) (14. 89) 
四 (ED = Dm— 2 no— 2Dem m:n) (14. 90) 


men 


对 以 上 二 维 WMRA 的 综合 
ci k,l) = De mn ho lk — 2m)ho ll — 2n) 
+ Dad} ms mho lk — 2m hl — 2n) 
+ Dyd? msmhilk— 2m)ho ll — 2n) 


+ Ddi ms mh kom 2m hl — 2n) (14. 91) 
14. 4. 2 小 节 将 给 出 二 维 图 像 小 波 信号 变换 的 实例 。 


14.3 信号 调制 、. 骨 入 与 提取 


信息 隐藏 一 般 通 过 编码 .加 密 与 (或 ) 调 制 获得 待 隐藏 信号 ,再 通过 蔡 换 、 琶 加 、 调 
制 载体 信号 或 其 统计 量 等 方法 嵌入 待 隐藏 信号 。 本 节 将 介绍 主要 的 调制 . 戏 入 和 提 


人 
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取 方 法 。 
14.3.1 实 值 伪 随 机 信号 的 产生 


当 信 息 隐 藏 算法 不 直接 能 入 待 隐 藏 信息 编码 的 二 进 制 串 时 ,往往 需要 调制 这 个 
二 进 制 串 ,调制 所 用 的 调制 信号 是 实 值 伪 随 机 信号 。 当 一 段 实 值 伪 随 机 信号 代表 一 
个 特定 的 含义 或 实体 , 它 也 可 以 直接 被 嵌入 。 为 使 嵌入 信和 号 隐蔽 ,算法 需要 以 上 伪 随 
机 信号 满足 一 些 随机 性 质 , 主 要 是 要 求 它们 在 一 定 范围 内 均匀 分 布 或 者 正 态 分 布 。 
因此 本 小 节 以 下 将 介绍 产生 (0,1) 间 均匀 分 布 实 值 伪 随 机 信号 与 获得 正 态 分 布 伪 随 
机 信号 的 数学 方法 。 需 指出 ,由 于 计算 误差 等 原因 ,完全 均匀 分 布 或 者 正 态 分 布 的 信 
号 是 不 能 得 到 的 ,因此 一 般 称 通过 计算 设备 获得 的 这 类 信号 为 伪 随 机 信号 。 

获得 (0,1) 间 均匀 分 布 的 实 值 伪 随 机 信号 具有 极 重要 的 理论 和 应 用 意义 ,根据 这 
类 信和 号 序列 可 以 产生 具有 任意 概率 分 布 的 其 他 信号 序列 。 以 下 定理 通过 指明 任意 分 
布 和 均匀 分 布 随机 变量 之 间 的 关系 说 明了 这 一 点 。 

定理 14.3.1 设 & 是 (0,1) 间 均匀 分 布 的 随机 变量 , 记 为 一 U(0,1) ,F(z) 是 任 
意 分 布 函 数 , 则 

7= Fé) (14. 92) 

是 服从 F(z) 分 布 的 随机 变量 , 即 Fi(z) 全 Pr(C7<z) 一 FCz)。 

证 明 : 由 于 是 (0,1) 间 均匀 分 布 的 随机 变量 ,有 


0 -二 
F(X) 一 上 人 
1 we 
任何 分 布 函 数 F(z) 均 是 单 值 . 递 增 的 非 负 函数 ,满足 0 二 F(z) 三 1, 因 此 (y, 台 可 视 为 
F(z) 曲 线 上 的 一 点 。 当 取 xz 二 zi ,有 Fy(x1) 会 Pr(y 过 x1) ,wx 等 价 于 EF(zx1)， 
因此 
F(z1) = Pr(y < zx1) ~ Pr(E < F(z)) = FelF(zx1)) 
由 于 &~U(0,1), 当 F(z)E(0,1), 有 Fe(F(z1)) 二 F(z);, 则 Fi(x1) 二 F(z); 当 
F(x1)=0,F,(x1)=Pr(é<0)=0, 当 F(z)=1,F,(z1)= 二 Pr(é 过 1)==1。 因 此 
F(X1) 二 F(x) 在 分 布 函数 (zi) 与 F(xz1) 的 全 部 范围 内 得 到 满足 ,由 于 zi 是 任意 
选 定 的 ,因此 FiCz) 一 FCz) 也 成 立 。 
有 多 种 方法 可 以 产生 (0.1) 间 均匀 分 布 的 实 值 伪 随 机 信号 ,它们 包括 线性 同 余 
法 . 非 线性 同 余 法 、 混 沌 法 .平方 取 中 法 、 组 合法 .小 数 开 方法 .Fibonacci 序列 法 等 。 
这 些 方法 或 者 直接 递 推 地 产生 实 值 信 号 序列 ,或 者 先 产 生 伪 随机 的 整数 或 二 进 制 序 
列 .再 通过 除法 等 处 理 获 得 实 值 信 号 序列 。 以 下 介绍 3 个 在 信号 处 理 中 经 常 使 用 的 
方法 : 
(1) 乘 线性 同 余 法 
该 方法 的 信号 序列 产生 式 为 
Xi 二 ari(modm) zmELZ 


(ld. 3) 
让 二 过 1 家 
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其 中 ,R 表示 实数 域 ;x; 表示 输出 的 实数 信号 序列 。 关 于 乘 线性 同 余 法 实数 信号 发 生 
器 有 以 下 主要 性 质 : @ 当 mm 二 2*、L 宇 4 并 且 初 值 ze 为 奇数 时 , 取 a 二 3(mod 8) 或 
a 三 5(mod 8) ,最 大 周期 是 2 一 :; 句 当 m 为 素数 , 取 a 与 mm 互 素 ,可 以 得 到 最 大 周期 
m—1。 
(2) 混合 线性 同 余 法 
该 方法 的 信号 序列 产生 式 与 式 (14. 93) 仅 差 一 个 加 项 : 
ii 一 arr 十 c(Cmodxz) zimc EZ 


党 (14.94) 
一 ri€ER 


i 汪 
772 


其 中 c 二 0。 为 得 到 最 大 序列 周期 六 ,算法 需要 满足 : ec 与 交互 素 ; @@ 对 m 的 任何 
一 个 素 因 子 p ,a 三 1(mod p); @ 若 4 是 mm 的 因子 , 则 4 三 1(mod 4)。 为 满足 上 述 条 
件 , 参 数 常 取 为 


m= 2 LELZ 
a=4a+l1 Va€Z 
(14. 95) 
c=28+1 VEZ 
zo0 Vro EZ 
(3) 混沌 法 
利用 混沌 映射 可 以 产生 伪 随 机 的 实 值 信号 序列 。Logistic 映射 
07 (14. 96) 


是 常用 的 混沌 映射 之 一 ,其 中 ,zw 为 状态 变量 ,a 为 参数 。 当 和 迭代 次 数 守 增加 ,数列 
zu 依 选取 的 参数 和 初始 状态 存在 3 种 变化 可 能 : 四 收敛 于 不 同 点 ; 四 收敛 于 周期 轨 
迹 ; @ 变 为 混沌 。 例 如 , 当 3.5 699 456… 三 a 三 4,Logistic 映射 将 进入 混沌 状态 。 当 
xzoE(0,1),Logistic 映射 将 产生 一 个 在 0 一 0. 25a 之 间 的 信号 ,因此 取 a 二 4, 就 得 到 
0 一 1 之 间 的 信号 。 但 是 ,由 于 序列 是 以 概率 密度 


1 
tt (14. 97) 
Ce VEL = 
在 0 一 1 之 间 分 布 .为 了 在 0 一 1 内 产生 均匀 分 布 的 信号 序列 ,可 以 求 得 分 布 函 数 
yx) a 二 一 dz arcsin VT (14.98) 


则 根据 定理 14. 3. 1 ,不 难看 出 y(x) 是 分 布 在 0 一 1 内 的 均匀 分 布 信号 序列 。 

混沌 信号 具有 初 值 敏感 性 、 难 预测 性 、 类 似 品 声 的 宽频 特性 、 各 态 遍 历 性 等 统计 
性 质 ,但 理论 周期 仍然 较 难 估计 ,一 般 可 通过 一 些 经 验 公式 计算 。 

以 下 定理 说 明 , 可 以 利用 统计 近似 抽样 法 将 在 0 一 1 内 均匀 分 布 的 信号 序列 变换 
为 正 态 分 布 的 。 

定理 14.3.2 设 和 均 是 (0.1) 上 均匀 分 布 的 随机 信号 ,一 1;2， ,研一 NG 到 ) 
是 要 获得 的 随机 变量 分 布 , 当 工 一 == 时 .有 

-5 
一 一 .99) 
i 2 1 (14.99 
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证 明 : 由 于 
pe 三 | spPrce)as 一 玛 (14. 100) 
of = Var(é&) = (&; — pe)’*Pr(é,) dé = 十 (14.101) 
根据 中 心 极 限定 理 , 当 工 一 -= 时 ,有 
EL 工 
27156 一 Lee 之 6 一 到 
工 过: 二 ~ N(0,1) CL O02) 
其 中 N(0,1) 表 示 均 值 为 0、 方 差 为 1 的 正 态 分 布 ;对 要 获得 的 随机 变量 wy 一 NG, 区 ), 有 
2 2 NOsI) (14. 103) 
根据 式 (14. 101) 与 式 (14. 102) ,可 令 
L 
7 A > ' 要 
本 VT7IZ 
SS 二 月 
二 a 
7 二 pp 7 A 
试验 验证 ,N 三 12 时 了 的 统计 特性 已 经 比较 好 ,因此 在 应 用 中 常用 
12 
1 一 上 十 om(2)5 一 6) (14. 104) 


14.3.2 位 平面 替换 与 翻转 


对 用 有 限 字 长 存储 的 数字 信和 号 或 其 变换 系数 ,每 个 采样 值 均 可 看 作 整 数 ,它们 的 
低位 比特 对 信号 的 感知 效果 影响 很 小 。 最 简单 的 信息 隐藏 方法 将 每 个 样 点 的 最 低 意 
义 比 特 CLSB) 替 换 为 隐藏 数据 , 若 x(nw) 表 示 载 体 信 号 .wl 表示 隐藏 信号 的 比特 串 ， 
这 可 以 表示 为 

Xn) wln) ZX(n) = 0(mod 2) 
xD 一 人 op 二 di yn (14. 105) 
Tn Tun Tn mo 
以 上 方法 在 隐 写 和 脆弱 水 印 中 得 到 了 广泛 应 用 。 但 一 些 应 用 要 求 载体 数据 可 以 被 精 
确 地 复原 ,这 使 很 多 隐藏 方法 必须 无 损 地 压缩 嵌入 位 置 上 的 原 数 据 .再 将 压缩 数据 和 
隐藏 数据 一 并 能 入 。 由 于 LSB 随机 性 较 强 ,因此 压缩 效果 不 能 满足 要 求 ,这 样 一 些 
基于 LSB 的 方法 需要 在 更 高 位 的 比特 上 骨 入 数据 吕 。 

定义 14.3.1 对 用 NN 比特 长 字 节 存储 的 数字 信号 采样 点 , 它 的 全 部 LSB 被 称 
为 LSB 位 平面 .全 部 距离 LSB 最 近 的 比特 组 成 第 2 LSB 位 平面 ,以 下 依次 是 
第 3,4,…,N LSB 位 平面 。 

与 位 平面 相关 的 操作 将 引起 一 些 信号 特性 的 变化 ,因此 这 类 操作 还 可 以 通过 信 
号 性 质 隐藏 信息 ,而 信息 的 提取 可 以 通过 检测 信号 的 相关 性 质 确定 。 位 平面 翻转 是 
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主要 的 这 类 操作 之 一 , 它 指 将 位 平面 上 的 置 反 ,例如 ,在 LSB 和 第 2 位 平面 上 的 翻转 
操作 可 分 别 记 为 
Fiss: 0*1,2<3,… ,254<>255 
Fovasa: 0*>2,1<>3,… ,254<252 
可 以 更 灵活 地 定义 各 种 翻转 操作 ,它们 对 不 同 的 量化 值 进行 不 同 的 翻转 。 为 了 确保 
操作 不 过 多 地 降低 信号 的 感知 质量 ,一 般 需 要 将 以 下 定义 的 翻转 强度 控制 在 6 以 下 。 
定义 14.3.2 车 P= 二 {0, 1,…, 2 一 1} 为 信号 zx(n) 样 点 的 量化 级 , 则 


(14. 106) 


TBT 5) 1z0)— F(z) | (14. 107) 


xz(DEP 


被 定义 为 翻转 操作 下 对 x(n) 的 翻转 强度 ,其 中 |P| 表 示 P 中 元 素数 量 。 

以 下 以 翻转 操作 对 局 部 信号 R-S(Regularity-Singularity) 属 性 的 改变 说 明 相关 
的 信号 (属性 ) 的 调制 原理 。 

定义 14.3.3 设 将 信号 按 每 N 个 样 点 划分 为 样 点 分 组 ,F(。) 是 对 信号 分 组 的 
操作 ,fC(，) 是 以 信号 分 组 为 输入 的 函数 ,对 一 个 信号 分 组 G, 可 以 在 FC(，) 与 1/(，) 
下 定义 以 下 组 别 : 

(1) 常规 组 R,GE R 当 且 仅 当 FCF(CG)) 二 FFCG); 

(2) 奇异 组 S,GES 当 且 仅 当 FCFCG)) 一 FCG); 

(3) 不 用 组 U,GEU 当 且 仅 当 FCF(G)) 一 FCG) 。 

其 中 ,分 组 的 常规 性 质 和 奇异 性 质 被 统称 为 R-S 属性 。 

以 上 定义 说 明 可 以 通过 翻转 操作 改变 信号 分 组 的 R-S 属性 。 在 定义 中 ,ff(，…，) 
常 被 称 为 区 分 函数 . 它 需 要 反映 操作 FF(G) 给 G 带 来 的 变化 。 例 如 , 当 在 应 用 中 可 
以 取 


fxiszas Ta) = >)| za 一 zi| (14. 108) 
i=1 
极 少 出 现 GEU 的 情况 。 根 据 翻 转 的 性 质 , 显 然 FCF(G)) 二 G, 因 此 有 
GEROF(G)ES, GESOF(G)ER, GEUOGF(G)EU (14. 109) 


这 说 明 通 过 下 (。) 可 以 改变 信号 分 组 的 R-S 属性 .车 这 些 属性 代表 隐 含 的 信息 , 则 可 
以 实现 信息 隐藏 的 功能 ,而 通过 检测 这 些 属性 可 以 提取 信息 。 

需 指 出 ,在 包含 隐藏 信息 的 数字 内 容 未 遭受 改动 时 ,具有 U 属性 的 分 组 能 够 在 
正常 的 检测 中 被 识别 ,以 上 信息 隐藏 可 以 正确 地 提取 全 部 僚 入 数据 ,但 在 遭受 改动 
时 ,相应 被 反 蔡 换 和 反 翻 转 位置 上 的 提取 会 出 错 , 因 此 它们 主要 面向 隐 写 和 脆弱 水 印 
的 应 用 。 


14.3.3 扩 频 调制 


扩 频 通信 是 一 类 将 信号 调制 到 各 个 频率 上 进行 通信 的 方法 。 扩 频 通 信 有 反 电 波 
截获 的 能 力 , 这 说 明 它 本 身 有 保护 信息 的 作用 :并且 在 移动 通信 中 它 具 有 码 分 复 用 
(CDMA) 的 功能 ,这 说 明 扩 频 信号 可 以 在 释 加 传输 的 众多 信号 中 被 提取 出 来 。 以 上 特 
性 使 得 IJ. Cox 等 人 提出 的 扩 频 调制 方法 "' 引 也 成 为 信息 隐藏 的 主要 方法 之 一 。 
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扩 频 通信 分 为 直接 序列 扩 频 (DSSS) 和 跳 频 扩 频 两 类 ,信息 隐藏 中 使 用 的 扩 频 调制 
是 基于 前 者 的 ( 见 图 14. 3) , 它 用 伪 随 机 序列 将 信息 编码 调制 到 各 个 频率 分 量 上 。 和 若 当 
前 状态 需 隐 藏 的 信 源 编码 信息 为 一 个 比特 mr, 则 典型 的 扩 频 调制 和 柑 入 过 程 如 下 。 
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Ww 


1 
1 
1 
1 
1 
1 
lxr 
上 
1 


图 14.3 扩 频 调制 .嵌入 和 提取 流程 
(Cm: 水印 消 息 ; p: 伪 随 机 序列 ; a: 调幅 因子 ; x: 原始 数据 或 其 变换 系数 ; x : 发 布 数据 ; 
&: 被 攻击 数据 ; d: 相关 值 ; 页 : 提取 水 印 ; f: 自 适应 函数 ) 


(1) 比特 扩展 。m 一 [mm…mjixi ,其 中 ,常数 工 被 称 为 片 率 (chip rate) ,一 表示 
赋值 。 

(2) 扩 频 调制 。c<-m@Op 二 GnXXp(1))…(mXp(L)), 其 中 ,p 为 伪 随 机 信号 序 
列 ,在 这 里 表示 逐 样 点 相 乘 。 

(3) 幅度 调制 。 在 幅 调 因子 a 与 载体 x 无 关 时 为 s< aCoc 一 (72XcC1))…(7mzXcCL))， 
在 相关 时 为 sa@c= f(x)@e。 

《47 桥头。 

以 上 处 理 可 综合 地 表示 为 

2 一 x 十 ss 一 xY 十 4 四 严 因 了 Cl4,110) 

通过 计算 p 与 x' 之 间 的 相关 性 可 以 提取 水 印 。 若 其 大 于 选 定 的 阅 值 工 , 则 认为 

垦 入 的 是 1, 否则 是 0。 常 用 的 相关 性 计算 方法 包括 以 下 几 种 。 


(1) 线性 相关 
1 所 1 
Cp) = p= p> CLAs ELL 
L | 
(2) 归 一 化 相关 
ZE np) 《 过 = Dp > 
SS he (14. 112) 
p> 
<xip> Vp> 
(3) 相关 系数 
px sp) < Ey) pp — ED).> (14.113) 


< —Etx yp—E(p) > /< —ECx),p— ECD 
在 以 上 提取 中 ,可 能 出 现 一 定 的 漏 报 率 和 误 报 率 :它们 的 定义 分 别 是 

而 于 二 下 玉生 有 | 广东 二 下 大王 工矿 三 0 (14.114) 
设 当 mm 二 1 时 ,相关 值 的 均值 和 方差 分 别 为 pb 与 oi; 当 mm 一 0 时 分 别 为 mp 与 oo ,统计 
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结果 表明 ,这 些 相 关 值 通常 满足 正 态 分 布 .因此 有 


区 1 _ Cp)? 

而 证 (至 国 5 e 2 dr C14, 1153 
~ 1 _ po)? 

el 一 | 本 zm dx (14.116) 


以 上 信息 隐藏 方法 被 普遍 地 应 用 于 鲁 棒 水 印 和 隐 写 中 。 在 鲁 棒 水 印 的 应 用 中 ， 
一 般 需要 考虑 在 水 印 攻击 下 的 漏 报 情况 ,14. 4. 1 小 节 将 给 出 一 个 DCT 扩 频 水 印 的 
实例 以 及 典型 的 攻击 实验 结果 。 


14.3.4 量化 索引 调制 


基于 量化 和 矢量 量化 技术 ,B. Chen 和 G. W. Wornell 提出 了 量化 索引 调制 
(QIM) 水 印 方案 ,随后 还 提出 了 使 用 抖动 (dither) 调 制 (DM) 和 失真 补偿 (DC) 的 两 
种 提高 方案 中 ,以 下 分 别称 它们 为 DM-QIM 与 DC-QIM 方案 。 本 文 以 下 将 说 明 , 基 
于 QIM 的 方案 能 够 消除 载体 信号 对 提取 算法 的 干扰 ,因此 也 是 较 多 使 用 的 一 类 信息 
隐藏 方法 。 
量化 索引 调制 (QIM) 通 过 选择 不 同 的 量化 步 长 嵌入 对 应 的 信息 编码 比特 ,这 可 
以 用 格 (lattice) 和 陪 集 的 概念 描述 。 格 是 加 群 , 它 的 元 素 是 集合 中 的 离散 点 , 若 集合 
为 工 维 欧 氏 空间 ,这 些 点 在 矢量 加 法 下 组 成 了 L 维 格 。 设 A’ 为 A 的 子 格 ,对 任意 a 
EA,a 十 A' 为 A’ 的 陪 集 .A’ 的 全 体 陪 集 是 A 的 划分 。 设 QIM 水 印 方案 的 量化 步 长 为 
A,z 为 原宿 主 信号 艇 和 人 域 中 的 一 个 样 点 ,Z 为 整数 集 , 则 AZ 是 士 A/2 所 生成 格 的 子 
格 ,Ao 一 AZ 和 A 二 A/2 十 AZ 是 它 的 陪 集 , 骨 入 水 印 比特 关 E10,.1} 可 表示 为 
y= Q(x) 一 argmin(| 和 一 |)， AEA, 《14. 117) 
Ao 和 Ai 也 可 以 是 相互 间隔 均匀 的 其 他 陪 集 。 若 考虑 和 失 量 量化 ,以 上 组 入 可 一 般 地 
表示 为 
y= Q(x) = argmin(| A—x|), AEA,smE {0,1) (14.118) 
其 中 ,xy 与 4 为 L 维和 撩 量 ; | 外 .| 为 向 量 
的 欧 氏 距离 ,A; 为 第 i 维 的 量化 步 长 ， 
4 一 [AZ,… AZ] 和 Ai = [Ai/2, …, 
Ar/2] 十 [LAZ,…,AZ] 是 工 维 子 格 


[A,Z,…',AzZ] 的 陪 集 , 二 维 的 情况 参见 |。 MM a 
图 14.4, 该 子 格 每 个 元 素 的 第 i 个 分 量 是 6=-A-mo0 1 0 o 
A;Z 中 的 值 ,A。 和 A; 的 间距 称 为 量化 码 |。 机 
距 do ,在 上 述 情况 下 它 是 一 
5 14.4 QIM 调制 取 值 示意 (实心 点 
i 多) +… 十 [学 (14. 119) 属于 A。, 空 心 点 属于 A 1) 


设 3 为 获得 的 发 布 版 本 ,与 上 述 宜 入 
对 应 的 隐藏 信息 提取 可 以 一 般 地 表示 为 
讽 二 argmetoy min( |‖ 方 一 A。 | ) (14. 120) 


人 
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抖动 是 提高 符 入 信息 隐蔽 性 的 方法 .DM-QIM 水 印 方案 利用 它 在 量化 中 租 入 水 

印 。 在 量化 步 长 为 A 的 标量 量化 情况 下 ,水 印 岩 入 可 表示 为 

y= = —d ds me{01, Cl4, 121) 
设 Round(，) 表 示 取 最 接近 的 整数 ,对 信号 样 点 s,Q(s) 二 A。Round(s/A), 拌 动 值 
d。 和 di 是 任何 满足 1d。 一 di | 一 A/2 的 实数 ,如 do 一 一 A/4 和 di 一 A/4, 有 A 一 
一 A/4 十 AZ,4: 一 A/4 十 AZ。 若 采取 矢量 量化 , 式 (14. 121) 中 的 变量 需 用 矢量 表示 ,其 
中 ,QC(s)= [AiRound(s1/A1),…,ArRound(si/AL)] :d=[ 一 A1/4,…, 一 AL/4]7 和 
di 二 [A1/4,…,AL/4]" 为 拌 动向 量 ,T 表示 转 置 , A; 可 每 次 变化 , A。 二 do 十 
[AZ AZ]TA=d 二 [AZ AZ1T, 全 部 抖动 向 量 和 量化 步 长 形成 了 抖动 
序列 和 量化 步 长 序列 ,它们 可 以 作为 密 钥 流 使 用 。 对 应 以 上 两 种 嵌入 的 水 印 检测 都 
可 用 式 (14. 120) 表 示 。DC-QIM 水 印 方案 将 量化 误差 乘 上 系数 1 一 a 二 1 后 加 回 量化 
输出 ,可 表示 为 

y= Qn(x) 二 (1 oa) (x — Qn (x)) (14. 122) 

虽然 加 回 的 部 分 对 水 印 检测 也 形成 了 干扰 .但 是 它 提高 了 感知 质量 ,14. 4. 2 小 节 还 
将 说 明 这 也 增加 了 基于 QIM 方法 进行 隐 写 的 隐蔽 性 。 

由 于 也 存在 码 距 的 概念 ,基于 QIM 的 调制 方法 类 似 于 信道 编码 ,因此 可 以 借助 
相关 的 方法 分 析 其 解码 的 错误 率 忠 。 设 mm 为 一 个 传输 的 比特 ,用 方差 为 o 的 高 斯 品 
声 模拟 攻击 ,m 为 提取 的 比特 , 则 

, 0 dnin 

Pr 3 和 e | 二 Es 

综合 地 看 , 若 将 水 印 姐 入 和 提取 看 作 是 水 印信 息 的 通信 ,QIM 类 水 印 方案 相对 

于 DSSS 方案 的 优势 在 于 ,宿主 信和 号 没有 干扰 通信 ,提取 算法 在 一 定 的 攻击 强度 内 可 

以 消除 宿主 信号 的 影响 ,实现 了 更 大 的 码 率 。 但 是 ,14. 4. 2 小 节 将 例 示 , 由 于 载体 信 
息 被 再 量化 的 特征 明显 ,基本 的 QIM 不 宜 用 于 隐 写 。 


14.3.5 统计 量 调制 


信息 隐藏 也 可 以 通过 信和 号 统计 量 的 变化 传递 信息 。 本 章 前 述 的 基于 R-S 属性 
和 计算 相关 值 的 信息 隐藏 已 说 明 , 信 号 的 特性 往往 被 直接 用 于 表征 隐藏 的 信息 。 本 
小 节 将 再 给 出 两 类 典型 的 统计 量 调制 方法 。 

1. 调制 与 基本 数字 特征 相关 的 统计 量 

这 类 信息 隐藏 方法 一 般 将 载体 信号 分 为 成 对 的 样 点 分 组 ,并 不 同 地 调制 它们 , 提 
取 算 法 根据 两 个 分 组 统计 量 之 间 的 差 值 判断 嵌入 的 数据 或 者 是 否 有 信息 散人 入 。 若 将 
该 差 值 作为 一 个 新 的 统计 量 g: 则 算法 仅 当 其 大 于 一 个 阔 值 T 时 认为 岩 入 了 值 为 1 
的 比特 或 者 有 隐藏 信息 ,其 错误 分 析 类 似 于 式 (14. 115) 与 式 (14. 116) 。 

W. Bender 等 人 提出 了 分 块 调节 信号 均值 的 嵌入 方法 09 。 它 随机 选择 两 组 信和 号 
样 点 A 二 {ai} 与 B 一 {5;} ,它们 均 含 有 7 个 样 点 :为 嵌入 一 个 值 为 1 的 比特 ,将 A 与 B 
中 的 每 个 样 点 分 别 加 、 减 d. 使 它们 变 为 A 二 al} 二 {a; 十 d} 和 B= 二 {641} 二 {0; 十 d), 若 
用 mw spe 与 1z 分 别 表示 (a;)、{6;}、{a’) 与 {861} 的 均值 , 则 A 与 B 上 样 点 均值 的 


(14. 123) 
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差 为 


gq Le’ 一 Air katd— (td)=p— pt 2d (14.124) 

由 于 统计 上 jy 与 w 接近 ,因此 车 有 值 为 1 的 比特 被 算 入 , 则 9 的 值 将 明显 增加 。 
有 更 多 的 信息 隐藏 方法 选择 了 与 均值 方差 都 相关 的 统计 量 进行 调制 和 检测 。 
N. Nikolaidis 与 I Piva 提出 的 水 印 方案 5 也 使 用 与 前 述 类 似 的 能 入 方法 ,但 并 不 

改动 B 中 的 样 点 ,所 选择 的 检验 统计 量 为 

gqg=—— (14. 125) 
其 中 ow 与 ow 分 别 表示 (as) 与 {5} 的 均值 。I. K. Yeo 与 H.J.Jim 提 出 的 水 印 能 人 方 
案 中 3 也 是 基于 A、B 两 个 分 组 嵌入 一 个 比特 , 它 先 计算 S== VC 十 02)/(N 一 1) ,再 通 
过 以 下 方法 能 入 值 为 1 的 比特 : 


‘= ai 二 sgn (一 )。C。S/2 
ww: a sgn (y Ap < (14. 126) 
bi= bi— sgn(pa—p1)*d* S/2 
其 中 4 为 常数 。 式 (14.126) 使 jw 与 1w 之 差 大 于 CS, 因 此 ,根据 统计 量 
ys 拉 六 
d= Cl 127) 
ee 


是 否 大 于 阔 值 可 以 判断 是 否 嵌 入 了 值 为 1 的 比特 。 另 外 ,基于 调制 与 检测 A 与 B 中 
样 点 的 能 量 差 也 可 以 嵌 人 人、 判断 庶 入 的 信息 。 

2. 调制 直方 图 

定义 14.3.4 车 有 NN 个 样 点 的 信号 x (n) 有 工 个 量化 级 ri,k 二 0,1,…,L 一 1， 
若 ns 表示 等 于 量化 级 六 的 样 点 数量 , 则 描绘 PCr) 二 m4 的 曲线 被 称 为 直方 图 。 若 将 
re 和 nn 均 做 归 一 化 处 理 , 即 二 /rei 一 n/N, 描 绘 P(ri) 二 mx 的 曲线 被 称 为 
归 一 化 直方 图 。 

在 信息 隐藏 的 各 类 应 用 中 都 有 基于 调制 直方 图 的 方案 53 。 它 们 的 基本 方法 
是 ,将 载体 信号 分 为 一 些 分 块 , 将 每 个 分 块 的 直方 图 调节 到 特定 的 形状 ,即使 样 点 
值 满足 特定 的 分 布 函数 (被 称 为 规定 化 处 理 ) ,并 约定 不 同形 状 的 直方 图 表示 不 同 
的 信息 。 一 个 直方 图 例子 如 图 14. 5 所 示 。 
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在 假设 变量 均 连续 的 情况 下 ,以 下 给 出 规范 化 处 理 归 一 化 直方 图 的 原理 ,根据 它 
可 以 直接 获得 规范 化 直方 图 的 方法 。 若 量化 级 xz 满足 0 三 x 三 1, 可 以 通过 y= 二 T(x) 
将 每 个 工 对 应 到 一 个 新 的 值 ,TCz) 显 然 需要 满足 : 四 单调 增加 ,这 保证 了 量化 级 由 
低 到 高 的 次 序 不 变 ; @0 三 T(x) 三 1。 若 用 X 与 Y 表示 取 值 为 zx 与 y 的 随机 变量 ,由 
概率 论 的 基本 定理 可 得 以 下 定理 。 

定理 14.3.3 车 Y= 二 T(X), 并 且 T(X) 在 X 的 取 值 范围 内 单调 增加 , 则 

Ey) = FET Cy 本 二 

其 中 Fy(Cy) 与 Fx(Cz) 分 别 为 X 与 Y 的 分 布 函 数 。 

证 明 : 由 于 TC(X) 单 调 增加 , 则 以 下 两 个 事件 是 等 价 的 

XETIUyY: TORIES 


则 
Fy(y) =Pr(Y < y) = Pr(T(z) < y) 
= TH) = PrtT yy 
定理 14.3.4 设 fy(y) 与 fx(zx) 分 别 为 以 上 XX 与 Y 的 概率 密度 函数 , 若 令 
rl 0) Me [fx Cr do (14. 129) 
则 .Fr(Cy) 一 1。 


证 明 : 根据 式 (14.129) ,T(z) 显 然 满足 以 上 要 求 的 单调 增加 和 0 三 T(x) 三 1 两 
个 性 质 。 根 据 定理 14. 3. 3 可 得 


fy(y) = fx (TT (y)) 


对 式 (14. 129) 求 导 后 有 


Ty) = Er la (14.130) 
本 二 = fx (14.131) 
将 式 (14.131) 代 入 式 (14.130) 中 得 到 
fy(y) = fx(7x) 二 | -= E dy dy | -= 一 1 
式 (14. 129) 的 操作 被 称 为 使 直方 图 均匀 化 .基于 它 可 以 得 到 将 直方 图 规定 化 的 
方法 。 首 先 将 原 信息 进行 直方 图 均衡 化 : 
y= Tz = [fx cade (14. 132) 
假定 x 是 满足 规定 化 要 求 的 信号 , 它 的 概率 密度 为 fz(x), 则 实际 也 存在 以 下 均衡 化 
操作 : 
此 三 六 [fz de (14. 133) 
则 zz 二 G7!1(w) ,由 于 yy 和 ww 都 是 均衡 化 后 的 结果 ,它们 有 相同 的 概率 密度 ,因此 用 y 
代替 不 影响 < 的 概率 密度 , 则 
= 一 GTCy) 一 GCTCz)) (14. 134) 
可 以 得 到 所 需 的 >。 用 样 点 出 现 的 频 度 代替 概率 密度 值 . 可 以 将 以 上 过 程 离散 化 。 
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14.4 应 用 举例 


通过 介绍 DCT 域 的 扩 频 鲁 棒 数 字 水 印 方案 和 小 波 域 的 基于 量化 索引 调制 
CQIM) 的 隐 写 方案 ,本 节 例 示 了 前 述 主 要 信号 处 理 技术 的 在 信息 隐藏 中 的 基本 使 用 
方法 。 


14.4.1 DCT 域 扩 频 鲁 棒 水 印 与 攻击 


和 鲁 棒 数 字 水 印 ( 以 下 简称 水 印 ) 中 技术 是 一 种 针对 数字 内 容 的 版 权 保护 技术 , 它 
通过 在 原 内 容 的 感知 元 余数 据 中 隐蔽 地 藤 入 包含 版 权 信 息 的 数据 ,实现 对 数字 内 容 
的 各 类 保护 ,这 些 隐 藏 的 数据 或 信号 被 称 为 数字 水 印 。 水 印 技 术 有 3 个 主要 性 质 ， 
感知 透明 性 、 鲁 棒 性 和 安全 性 。 感 知 透明 性 指 人 类 难以 感知 水 印 的 存在 ,水 印 不 影响 
数字 内 容 的 正常 使 用 ;和 鲁 棒 性 指 水 印 难以 被 攻击 者 除去 .任何 能 够 损害 水 印 的 操作 也 
会 造成 数字 内 容 的 质量 严重 受 损 ; 安 全 性 是 指 水 印 与 其 验证 协议 难以 被 低 代价 的 攻 
击 所 破坏 。 

水 印 技术 可 按照 嵌入 位 置 分 为 时 空域 水 印 和 变换 域 水 印 两 类 ,它们 也 可 按照 
14. 3 节 介 绍 的 能 入 方法 分 类 。 其 中 ,DCT 域 的 扩 频 水 印 最 早 由 I J. Cox 等 人 提 
出 中 并 由 M. Barni 等 人 进一步 完善 四 ,是 一 种 非常 典型 的 变换 域 水 印 , 它 主要 分 为 
水 印 能 入 和 水 印 检测 两 部 分 。 以 下 以 2 维 灰 度 图 像 作为 原始 信号 分 别 描述 其 具体 
步骤 。 

1. 水 印 谱 入 

(1) 生成 水 印 序列 。 使 用 式 (14. 104) 提 供 的 方法 生成 长 度 为 M 的 接近 正 态 分 
布 的 序列 半 三 {x ,x2，… ,zm}) 作 为 水 印 , 它 可 


代表 数字 内 容 所 有 者 的 标识 。 7 之 
(2) DCT 变换 。 对 N XN 的 原 图 像 工 进 
行 二 维 DCT 变换 ,并 将 变换 系数 矩阵 D 按照 


zigzag 顺序 排列 为 一 维 向 量 T, 其 中 ,zigzag 顺 
序 可 以 用 图 14. 6 例 示 , 它 的 排列 特点 是 元 素 按 
照 频率 从 低 到 高 排列 。 


(3) 嵌入 水 印 。 为 了 在 保持 鲁 棒 性 的 同时 Po 


获得 更 好 的 感知 透明 性 ,算法 将 水 印 租 入 中 频 
区 域 , 因 此 取出 向 量 工 的 第 ( 工 十 1) 至 ( 工 十 M) 14.6 6X6 矩阵 元 素 的 zigzag 顺序 


S i 人 >» 个 一 个 元 
个 元 素 (tiristits，…,ti+m) 作 为 嵌入 位 置 , 计 人 
算 向 量 于 一 { 妈 + 攻 + mm st 丝 +m) ,其 中 
tn= tntae|tn | xs i=1,2,…,M (14.135) 


常数 a 用 于 调节 租 入 强度 ;随后 用 T' 替 换 T 中 相应 位 置 上 的 系数 ,进行 反 zigzag 排 
序 , 恢 复 2 维系 数 矩 阵 并 进行 DCT 反 变 换 , 得 到 艇 入 水 印 后 的 图 像 工 。 
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2. 水 印 检测 

对 可 能 含有 水 印 X 的 待 测 图 像 1* 进行 DCT 变换 和 zigzag 排列 , 取 第 (L 十 1) 至 
(LL 十 MD 个 DCT 系数 构成 向 量 厂 二 {invtitrz，… ,ttt+m，) ,计算 向 量 T' 与 X 的 线性 
相关 值 


M 
,> 1 a 
之 M 一 MET (14.136) 


作为 判决 依据 : 若 lg(z) 不 小 于 阅 值 T:, 则 认为 I" 中 含有 水 印 X, 反 之 则 没有 。 

以 上 检测 方法 存在 误 报 和 漏 报 的 可 能 ,对 前 者 可 以 建立 相关 的 统计 模型 分 析 ,但 
由 于 需要 考虑 不 同 的 攻击 ,对 后 者 一 般 用 实验 分 析 。 假 设 在 17° 不 含水 印 的 情况 下 ,x 
近似 服从 正 态 分 布 N (yy,o?), 则 误 报 率 Pi 为 


Pe uN 
P=— ts) ede (14. 137) 
HG “Te 


由 于 攻击 者 发 现 误 报 后 可 以 谎 称 其 他 水 印 的 存在 , P: 是 衡量 水 印 安全 性 的 重要 因 
素 。M. Barni 等 人 经 过 估算 发 现 中 , 当 M 王 16 000 .a 二 0.01、 阅 值 T.==0.034 时 ,以 
上 算法 的 Pi 约 在 10“ 量 级 。 

图 14.7 给 出 了 水 印 租 入 和 检测 的 例子 。 其 中 ,水 印 检测 值 x 均 取 对 数 后 显示 。 可 
以 看 出 ,在 入 水 印 后 的 图 像 与 原始 图 像 相 比 ,在 人 眼 的 视觉 感知 上 几乎 没有 差别 ,体现 
了 算法 的 感知 透明 性 ;而 图 14.7(d) 所 示 说 明 当 检测 水 印 正 确 时 ,检测 值 将 显著 增加 。 


(a) S12X512 原 始 图 像 (b) DCT 变换 系数 


1 T 了 


水 印 检测 值 


400 600 800 1000 


检测 序号 
(0) 谋 入 水 印 后 的 图 像 (PSNR=48.16dB) (d) 水 印 检测 值 ( 仅 1 次 用 正确 水 印 检测 ) 


图 14.7 DCT 域 扩 频 水 印 嵌 入 与 检测 情况 
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对 图 像 水 印 常见 的 攻击 包括 图 像 有 损 压缩 、 添 加 噪声 、 尺 度 缩放 等 。 图 14. 8 至 
图 14. 10 依次 给 出 了 经 过 这 3 种 攻击 后 水 印 的 检测 情况 ,其 中 具有 和 较 高 检测 值 时 均 
使 用 了 正确 的 水 印 进行 检测 。 可 以 看 出 ,在 经 过 一 定 程 度 的 上 述 攻 击 后 ,水 印 的 存在 
性 仍 能 够 正确 地 被 识别 ,体现 了 DCT 域 扩 频 水 印 方法 的 鲁 棒 性 。 


水 印 检测 值 


“0 200 4 


00 600 800 1000 
检测 序号 


14.8 品质 参数 为 4% ,平滑 参数 为 0 的 JPEG 压缩 后 的 图 像 ( 左 ) 及 水 印 检测 ( 右 ) 


0 200 400 600 800 1000 
检测 序号 


14.9 添加 高 斯 白 品 声 后 的 图 像 ( 左 .PSNR 值 降 至 22. 18dB) 及 水 印 检测 ( 右 ) 


水 印 检 


0 200 400 600 800 1000 
检测 序号 


14.10 尺寸 缩小 为 256X256 后 的 图 像 ( 左 ) 及 水 印 检测 ( 右 ) 


信息 安全 中 的 数学 方法 与 技术 


14.4.2 小 波 域 QIM 隐 写 与 分 析 


隐 写 呈 是 信息 隐藏 的 重要 分 支 , 它 将 机 密 信 息 ( 亦 称 隐 秘 信息 ) 隐 项 地 艇 入 在 载 
体内 容 中 ,通过 载体 的 传输 实现 保密 通信 。 隐 项 性 是 评价 隐 写 是 否 安全 的 关键 因素 ， 
即 不 能 让 第 三 方 检测 出 隐 写 事实 的 存在 。 隐 写 按照 信息 嵌入 域 的 不 同 . 可 以 分 为 时 空 
域 方 法 和 变换 域 方法 两 类 ,本 小 节 将 介绍 一 类 在 小 波 域 利 用 B. Chen 和 G. W. Wornell 
提出 的 QIM59 进行 图 像 隐 写 方法 :也 将 介绍 对 它们 的 典型 分 析 方法 。 

这 里 首先 介绍 一 种 基本 的 图 像 QIM 隐 写 。 它 的 输入 是 载体 图 像 X 和 隐秘 信息 
m ,能 入 算法 包括 以 下 步骤 : 

(1) 小 波多 分 辨 率 分 解 。 用 14. 2. 3 小 节 给 出 的 小 波 滤波 器 组 (以 下 实验 使 用 长 
度 为 8 的 Daubechies 小 波 ) 对 图 像 X 进行 小 波 分 解 , 得 到 在 LL、LH、HL、HH 子 带 
的 分 解 系数 CCz,y)、 HGCz,y)、 VCz,y)、DCzyy): 选 择 LL 子 带 系数 CCz,y) 作 为 隐 
秘 信 息 骨 入 位 置 。 

(2) 从 入 隐秘 信息 。 为 利用 QIM 将 隐秘 信息 严 找 入 到 C(x,y) 中 ,定义 量化 函数 

Qi(Cz) = Q(zr— di)+d; (14. 138) 
其 中 ,Q(zx) 二 gqRound(x/g),g 为 量化 步 长 .d= 二 一 g/4.di 二 gq/4: 则 租 入 规则 为 
Qo(CCCzy,y)) mlk)=0 
Czy (14. 139) 
ge m(k)=1 
其 中 x(k) 代表 将 骨 入 在 CCz,y) 位 置 上 的 隐秘 信息 比特 。 

(3) 图 像 重 构 。 对 量化 后 的 系数 进行 小 波多 分 辩 率 分 解 的 综合 .得 到 隐 写 图 
像 XX。 

隐 写 提取 算法 首先 对 X 进行 上 述 小 波 分 解 . 得 到 LL 子 带 系数 C(x,y), 再 利用 以 
下 反 向 量化 规则 从 C (x,y) 中 提取 信息 : 计算 p 二 Round((C (xz,y) 一 gq/4)/(g/2)), 其 
中 Round(z) 表 示 取 最 接近 z 的 整数 , 则 提取 隐秘 信息 为 

网 1 p= 2n 
m’(k) = (14. 140) 
bs = 28 十 也 

若 取 量化 步 长 go 王 12, 以 上 算法 可 以 在 512X512 的 图 像 中 租 入 了 256X256 比 

特 的 隐秘 信息 ,图 14. 11 所 示 为 实验 图 像 和 小 波 分 解 系数 。 


(a) 512Xx512 载 体 图 像 fb) 小 波 分 解 系数 (c) 隐 写 图 像 (PSNR=46.3) 
14.11 一 次 小 波 域 QIM 隐 写 中 的 图 像 和 变换 系数 
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对 QIM 隐 写 最 典型 的 攻击 方法 是 直方 图 分 析 。 由 于 所 有 样 点 均 调 制 为 量化 值 
的 倍数 ,QIM 隐 写 会 减少 髓 入 域 样 点 的 数值 个 数 ,这 种 变化 会 反映 在 样 点 的 直方 图 
上 ,使 得 舱 入 域 的 直方 图 会 由 相对 连续 的 变 为 相对 离散 的 ,因此 ,通过 直方 图 分 析 能 
够 检测 出 载体 图 像 是 否 含有 隐秘 信息 。 图 14. 12 所 示 为 载体 图 像 和 隐 写 图 像 在 谋 和 人 
域 的 直方 图 ,可 以 看 出 ,载体 图 像 在 戏 入 域 的 直方 图 更 连续 ,而 隐 写 图 像 在 戏 入 域 的 
直方 图 更 离散 ,并 且 峰 值 为 载体 图 像 直方 图 的 数 倍 。 
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{a) 载体 图 像 在 姐 入 域 的 直方 图 (b) 隐 写 图 像 在 媒 入 域 的 直方 图 


图 14.12 载体 图 像 和 使 用 基本 QIM 隐 写 后 图 像 嵌 入 域 的 直方 图 


为 加 强 隐 和 写 信息 的 隐蔽 性 ,可 以 对 上 述 基本 QIM 隐 写 方法 进行 改进 ,将 以 上 步 
又 (2) 使 用 的 QIM 替换 为 基于 失真 补偿 (Distortion-Compensated) 的 QIM, 得 到 

DC-QIM 隐 写 方法 . 它 仅 将 第 一 种 方法 的 符 入 规则 修改 为 
， Qu(CaCc(zy,y)) 十 (1 一 ac)CCz,y)， mlk)=0 
C (zy) 一 (14.141) 

. ee 十 (1 一 ac)CGCzyy)， m(k) 1 
其 中 0 二 a 二 1。 提 取 算法 的 反 向 量化 规则 相应 变 为 p= 二 Round( (aC” (x,y) 一 g/4)/(g/2))， 
隐秘 信息 仍 由 式 (14. 140) 提 取 。 由 于 该 QIM 方法 在 量化 强度 和 图 像 失 真 之 间 做 了 折 
于 ,因此 减弱 了 QIM 的 特征 ,提高 了 隐 写 的 隐蔽 性 。 实 验 取 a 二 0.6, 得 到 如 图 14. 13 所 
示 的 结果 。 可 以 看 出 ,算法 改进 后 , 隐 写 图 像 在 嵌入 域 的 直方 图 更 连续 ,但 与 载体 图 
像 的 直方 图 仍 有 区 别 。 
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图 14.13 使 用 DC-QIM 隐 写 后 图 像 嵌 入 域 的 直方 图 


为 进一步 加 强 隐蔽 性 ,可 以 将 第 一 种 隐 写 方法 中 的 QIM 替换 为 使 用 抖动 调制 
(Dither Modulation) 的 QIM, 得 到 DM-QIM 隐 写 方法 。 它 的 岩 入 算法 包括 以 下 
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(1) 由 小 波多 分 辩 率 分 解 得 到 CCz,y)。 

(2) 将 隐蔽 信息 m 划分 为 长 度 为 L 比特 的 分 块 , 记 为 {ma ,ma ,mvwr}),N 为 隐 
蔽 信息 的 比特 长 度 。 

(3) 在 [gwin ,qmsxj 范 围 内 随机 生成 长 度 为 工 的 序列 ai,q ,…,dqz, 其 中 ,qmn 一 0， 
qmax0; 在 [一 qi/2,qr/2j 范 围 内 随机 生成 4a(k,0) ,1 三 k 志 LL, 并 根据 式 (14. 142) 计 算 
得 d(k,1), 即 

d(k,0)+gqi/2, d(k,0) 过 0 
dlk,1) = k=1,2,°…,L (14.142) 
Logg — gi/2, d(k,0)>>0 
d(k,0) 和 d(k,1) 称 为 长 度 为 L 的 拌 动 序列 ,由 此 定义 量化 函数 为 
QiCzCE)) 一 QCzCE) — dk ) + dk,i) 
=qgRound((z(k) — d(k,i))/gr) + d(k,i) (14.143) 
(4) 将 载体 图 像 小 波 分 解 系数 CCz,y) 同 样 划分 为 长 度 为 工 的 分 块 , 记 为 
{cscs ycwL) 分别 在 它 的 第 7 个 分 块 ej 岩 入 隐蔽 信息 mm ，* 徐 入 规则 为 
2 Quo(CcCR))， mlk)=0 . 
ci(k) = k=1,,L;j=1,°,N/L (14.144) 
“ tt mi(k) = 1 
将 各 分 块 的 量化 后 系数 c; 组 合 为 C' (zx,y)。 

(5) 对 C'(z,y) 进 行 小 波多 分 辨 率 分 解 重 构 ,得 到 隐 写 图 像 X 。 

DM-QIM 提取 算法 首先 对 X 进行 上 述 小 波 分 解 , 得 到 LL 子 带 系数 C”(x,y)， 
再 将 C”(x,y) 划 分 为 长 度 为 工 的 分 块 , 记 为 {ci ,cs，… ,cn ,对 每 一 个 分 块 分 别 计 
算 pj (k) 二 Round(Ce Ck) 一 d(k,0))/ (qi/2)), 则 隐蔽 信息 比特 的 提取 为 

和 0, pj;(k) = 2n . 
mi(k) = k=1,2,…,L;j = 1,2,…,N/L 
区 pi(k) = 22 十 1 
(14. 145) 
最 后 ,将 得 到 的 {mi ,ml,… ,mi) 组 合 为 隐蔽 信息 m 。 

DM-QIM 隐 写 对 量化 步 长 和 拌 动 序列 都 做 了 随机 处 理 ,进一步 减弱 了 QIM 的 
特征 。 当 实验 取 工 = 二 1024、g 为 在 [10,20j 范 围 内 随机 生成 的 整数 时 ,从 实验 结 
( 见 图 14.14) 可 以 看 出 QIM 直方 图 的 量化 特征 进一步 减弱 。 若 每 个 分 块 上 的 量化 
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图 14.14 使 用 DM-QIM 隐 写 后 图 像 嵌 入 域 的 直方 图 
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步 长 和 拌 动 序列 都 不 同 , 则 隐蔽 性 还 可 以 进一步 加 强 。 
14.5 注 记 


本 章 介绍 了 在 信息 隐藏 中 常用 的 一 些 数字 信和 号 处 理 技术 ,并 用 典型 的 数字 水 
印 和 隐 写 实例 给 出 了 这 些 技术 在 信息 隐藏 中 的 应 用 方法 。 数 字 信 号 处 理 是 一 门 得 
到 广泛 研究 和 应 用 的 领域 ,相关 研究 成 果 和 应 用 实例 很 多 ,并 且 仍 然 在 不 断 涌现 ， 
其 中 很 多 成 果 均 可 运用 到 现代 信息 隐藏 技术 中 去 。 在 数字 信号 处 理 方 面 出 现 了 很 
多 好 的 教材 ,如 文献 L3] 一 [5] ,它们 对 获得 更 好 的 信息 隐藏 及 其 分 析 方 法 都 有 帮 
助 作用 。 近 年 来 ,也 出 现 了 一 些 信 息 隐 藏 专著 ,如 文献 L1] 和 [2], 它 们 更 系统 地 盖 
述 了 信息 隐藏 的 各 类 方法 。 另 外 ,有 关 信 息 隐 藏 的 最 新 进展 可 以 在 《IEEE 
Transactions on Image Processing》《IEEE Transactions on Multimedia》《IEEE 
Transactions on Information Forensics and Security》《IET Information Security》、 
《Signal Processing》 等 期 刊 以 及 《International Workshop on Information Hiding》 
(IH) 《International Workshop on Digital Watermarking》(IWDW) 等 会 议 文 集中 
找到 。 
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第 15 章 数据 挖掘 方法 与 技术 


随 着 计算 机 技术 和 通信 技术 的 快速 发 展 , 数 据 的 获取 、 传 输 和 处 理 构 成 了 信息 系 
统 的 核心 环节 。 然 而 ,商业 企业 、 科 研 机 构 和 政府 部 门 普 遍 面临 的 一 个 问题 是 : 数据 
的 处 理 速 度 远 远 落后 于 数据 的 生成 (获取 ) 速 度 , 这 就 导致 在 多 年 的 信息 化 工作 过 程 
中 积累 了 海量 的 数据 资料 ,这 些 数据 中 隐藏 着 用 以 支撑 我 们 判断 形势 并 作出 决策 的 
依据 ,但 由 于 高 效 数据 处 理 机 制 的 匮乏 ,当面 对 越 来 越 多 迅速 膨胀 的 超大 容量 数据 
时 ,我 们 无 法 快速 、 准 确 地 理解 数据 中 包含 的 信息 .难以 获得 有 价值 的 知识 。 数 据 挖 
掘 (Data Mining,DM) 概 念 的 提出 ,使 我 们 有 可 能 从 海量 的 数据 中 发 掘 出 隐藏 其 中 的 
知识 。 

数据 挖掘 是 目前 数据 库 和 信息 决策 领域 的 前 沿 研究 方向 之 一 :引起 了 学 术 界 和 
工业 界 的 广泛 关注 。IBM Almaden、GTE 等 著名 的 工业 研究 实验 室 , 以 及 UC 
Berkeley 等 众多 的 学 术 机 构 ,都 在 这 个 领域 开展 了 大 量 工作 并 取得 了 丰硕 成 果 。 本 
章 主 要 介绍 了 数据 挖掘 的 基本 概念 、 基 本 原理 和 典型 方法 ,并 用 实例 说 明了 它 在 信息 
安全 领域 中 的 具体 应 用 。 


15.1 基本 概念 


人 们 将 存储 在 数据 库 中 的 数据 看 作 是 形成 知识 的 源泉 ,并 将 这 种 从 数据 中 提取 
知识 的 过 程 形象 地 与 矿石 采掘 工作 联系 起 来 .这 也 正 是 “数据 挖掘 ”一 词 的 由 来 。 

定义 15.1.1 数据 挖掘 (data mining) 是 从 大 量 的 、 不 完全 的 ` 有 了 噪声 的 、 模 糊 
的 、 随 机 的 数据 中 ,提取 隐 含 在 其 中 的 .事先 未 知 的 .但 又 是 潜在 有 用 的 信息 和 知识 的 
过 程 。 

数据 挖掘 是 一 门 交 叉 学 科 : 它 汇聚 了 数据 库 \、 人 工 智能 、 统 计 学 .可视化 等 不 同学 
科 和 领域。 自从 1995 年 在 加 拿 大 蒙特 利 尔 召开 的 第 一 届 知 识 发 现 和 数据 挖掘 国际 
学 术 会 议 以 来 “数据 挖掘 ?一 词 开 始 受到 广泛 的 认可 , 随 着 研究 工作 的 不 断 深 入 和 扩 
展 , 其 内 涵 也 在 不 断 丰 富 。 

数据 挖掘 与 数据 库 中 的 知识 发 现 (knowledge discovery in database, KDD) 存 在 
着 概念 上 的 交叉 ,一 种 观点 认为 两 者 的 概念 是 等 同 的 ,只 是 应 用 于 不 同 的 领域 ; 另 一 
种 观点 则 认为 数据 挖掘 是 知识 发 现 的 一 个 核心 环节 。 这 里 更 倾向 于 后 一 种 观点 。 按 
照 学 术 界 对 于 数据 挖掘 和 知识 发 现 这 两 个 概念 的 描述 来 看 ,知识 发 现 是 把 低级 别 的 
数据 转化 为 高 级 别 数 据 的 抽象 过 程 。 知 识 可 表示 为 概念 (concepts)、 规 则 (rules)、 规 
律 (regulations) ,模式 (patterns) 等 形式 ,而 数据 挖 握 则 是 知识 发 现实 现 从 数据 到 信 
息 和 知识 转变 的 关键 一 步 。 因 此 ,知识 发 现 更 多 地 体现 出 一 种 数据 处 理 的 目标 ,而 数 
据 挖掘 则 是 为 了 达成 这 一 目标 而 采取 的 某 一 环节 的 技术 手段 。 
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另 一 个 需要 澄清 的 概念 是 联机 分 析 处 理 C(onLine analytical processing,OLAP) 。 
OLAP 主要 通过 多 维 的 方式 来 对 数据 进行 分 析 、 查 询 和 报表 ,主要 用 于 对 当前 及 历 
史 数 据 进 行 分 析 、 辅 助 领导 决策 。Gartner Group 等 组 织 把 OLAP 视 为 数据 挖掘 的 
一 部 分 ,但 更 多 的 认识 则 把 OLAP 和 数据 挖掘 当 作 互 不 相交 的 两 部 分 。OLAP 可 以 
帮助 简化 数据 分 析 过 程 ,其 功能 基本 上 是 用 户 参 与 的 汇总 和 比较 ;数据 挖掘 则 可 以 自 
动 发 现 隐藏 在 大 量 数 据 中 的 知识 。 另 一 方面 ,OLAP 大 多 是 限于 数据 仓库 中 的 数 
据 ; 数 据 挖掘 则 既 可 以 分 析 现 存 的 、 比 数据 仓库 提供 的 汇总 数据 粒度 更 细 的 数据 ,也 
可 以 分 析 事 务 的 .文本 的 、 空 间 的 和 多 媒体 数据 。 

数据 挖掘 能 够 从 海量 数据 中 发 现 有 效 的 、 先 前 未 知 的 并 且 最 终 可 理解 的 信息 。 
可 以 使 用 所 抽取 的 信息 来 形成 一 个 预测 或 分 类 模型 ,或 者 找 出 数据 库 记 录 间 的 相似 
性 ,发 据 结 果 信 息 可 帮助 作出 更 准确 的 决策 。 

基本 的 知识 发 现 过 程 如 图 15. 1 所 示 , 它 由 3 个 核心 环节 组 成 。 
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15.1 知识 发 现 过 程 示 意 


(1) 数据 准备 : 数据 准备 阶段 包括 数据 集成 .数据 选择 和 数据 预 处 理 。 其 中 , 数 
据 集 成 负责 将 多 种 来 源 的 数据 集 进行 合并 处 理 , 并 对 数据 集 进行 修补 以 减少 遗漏 , 实 
施 数据 清洗 以 减少 可 能 影响 挖掘 结果 的 数据 。 数 据 选择 确定 需要 实施 挖掘 分 析 的 数 
据 集合 ,提高 数据 挖掘 的 针对 性 。 数 据 预 处 理 则 根据 应 用 需求 主要 实现 数据 转换 功 
能 ,以 适应 挖掘 算法 的 要 求 , 克 服 目前 数据 挖掘 工具 的 一 些 局 限 性 。 

(2) 数据 挖掘 : 数据 挖掘 阶段 包括 数据 假设 .工具 选择 和 挖掘 操作 。 其 中 ,数据 
假设 重点 是 决定 如 何 产生 假设 ,是 让 数据 挖掘 系统 为 用 户 产生 假设 ,还 是 用 户 自 己 参 
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照 数 据 库 可 能 包含 的 知识 提出 假设 。 前 一 种 称 为 发 现 型 (discovery-driven) 的 数据 挖 
掘 ,后 一 种 称 为 验证 型 (verification-driven) 的 数据 挖掘 。 工 具 选 择 是 根据 数据 假设 
的 结果 ,从 算法 库 和 工具 库 中 确定 实施 本 项 知识 发 现 过 程 所 需 的 数据 挖掘 算法 和 配 
套 工具 ,并 巾 其 完成 核心 的 挖掘 操作 。 算 法 和 工具 的 选择 将 对 后 续 控 掘 结 果 的 解释 
起 到 关键 作用 。 

(3) 结果 处 理 : 结果 处 理 阶段 包括 结果 解释 .知识 推理 .决策 支持 和 修正 与 反馈 
等 工作 。 重 点 是 把 提取 的 信息 进行 分 析 ,通过 决策 系统 提交 给 决策 者 。 这 一 阶段 不 
仅 把 结果 表达 出 来 ,而 且 知 识 发 现 系统 会 采用 解释 和 推理 机 制 , 将 这 些 知识 直接 提供 
给 决策 者 ,也 可 以 提供 给 领域 专家 ,修正 已 有 的 知识 库 供 系 统 共 享 。 如 果 挖 掘 结 果 不 
够 满意 ,需要 重复 以 上 知识 发 现 的 过 程 ,实施 有 效 的 修正 和 反馈 。 

在 上 述 知 识 发 现 的 过 程 中 ,数据 挖掘 是 其 中 的 核心 阶段 。 数 据 假 设 的 确立 和 算 
法 工具 的 选择 将 直接 影响 到 整个 知识 发 现 过 程 是 否 能 够 从 给 定 的 数据 中 发 掘 出 未 知 
且 有 用 的 知识 。 下 面 将 对 数据 挖掘 的 基本 原理 进行 阐述 。 


15.2 基本 原理 


数据 挖掘 的 初衷 是 帮助 人 们 从 海量 的 数据 中 提取 出 有 用 的 、 先 前 未 知 的 知识 ,并 
指导 作出 合适 的 决策 。 数 据 挖掘 与 传统 的 统计 学 有 着 密切 的 联系 。 最 初 的 一 些 数据 
挖掘 方法 直接 来 源 于 统计 学 。 虽 然 统计 学 不 能 解决 数据 挖掘 的 所 有 问题 ,但 却 可 以 
为 数据 挖掘 提供 基础 的 框架 ;同时 ,数据 挖掘 的 出 现 也 为 统计 学 提供 了 一 个 如 新 的 应 
用 领域 ,给 统计 学 的 理论 研究 提出 了 新 的 课题 。 


15.2.1 数据 挖掘 的 任务 


数据 挖掘 一 般 有 以 下 4 类 主要 任务 。 

定义 15.2.1 数据 总 结 : 数据 总 结 是 通过 对 数据 库 中 数据 的 提炼 ,将 数据 从 较 
低 的 表达 层次 抽象 总 结 到 较 高 的 表达 层次 上 ,从 而 给 出 数据 的 综合 描述 ,使 分 析 人 员 
实现 对 数据 的 总 体 把 握 。 

常用 的 数据 总 结 是 利用 统计 学 的 方法 ,计算 数据 内 容 的 均值 方差. 总和、 最 大 值 、 
最 小 值 等 统计 量 ,或 者 利用 图 形 化 的 统计 分 析 工 具 , 形 成 描述 数据 特性 的 直方 图 、 饼 图 、 
曲线 图 等 。 利 用 OLAP 技术 实现 数据 的 多 维 查询 也 是 一 种 常用 的 数据 总 结 方法 。 

定义 15.2.2 数据 分 类 (data classification) : 数据 分 类 是 通过 提取 数据 库 中 数 
据 项 的 特征 属性 ,生成 分 类 模型 ,该 模型 可 以 把 数据 库 中 的 数据 记录 映射 到 给 定 类 别 
中 的 一 个 。 

分 类 模型 主要 用 于 实现 对 数据 记录 的 类 别 预测 ,分 类 的 应 用 非常 广泛 。 例 如 , 汽 
车 生产 商用 于 对 购买 不 同型 号 汽车 的 客户 群体 进行 分 类 ,以 区 别 出 不 同 客 户 的 喜好 。 
另外 ,如 医学 诊断 .行为 判定 ,市场 预测 等 .都 广泛 采用 数据 分 类 进行 自动 处 理 。 

定义 15.2.3 关联 分 析 (association analysis) : 关联 分 析 是 从 已 知 的 数据 集中 ， 
产生 数据 项 之 间 的 关联 规则 .揭示 不 同 数 据 项 相互 影响 的 程度 。 


人 
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关联 分 析 的 目的 是 揭示 两 个 或 多 个 变量 的 取 值 之 间 存 在 某 种 规律 性 。 最 简单 的 
例子 是 : 通过 对 顾客 在 超市 购物 记录 的 关联 分 析 , 可 能 会 发 现 所 有 购买 面包 的 顾客 
中 有 90% 的 人 同时 购买 了 牛奶 。 这 就 说 明 面 包 和 和 牛奶 这 两 件 商 品 之 间 从 顾客 的 角 
度 而 言 存 在 关联 性 ,超市 经 营 者 可 以 考虑 将 其 货柜 调整 到 一 起 ,以 方便 顾客 的 购物 从 
而 增加 销售 额 。 

序列 模式 分 析 同 样 也 是 试图 找 出 数据 之 间 的 联系 。 但 它 的 侧重 点 在 于 分 析 数 据 
之 间 前 后 (因果 ) 关 系 , 因 此 对 数据 往往 要 求 引 入 时 间 属 性 。 序 列 模式 分 析 非 常 适 于 
寻找 事物 的 发 生 趋 势 或 重复 性 模式 。 

定义 15.2.4 聚 类 (clustering) : 聚 类 是 按照 某 种 相近 程度 度量 方法 ,将 用 户 数 
据 分 成 一 系列 有 意义 的 子 集合 。 每 一 个 子 集合 中 的 数据 性 质 相 近 ,不 同 子 集合 之 间 
的 数据 性 质 相差 较 大 。 

当 要 分 析 的 数据 缺乏 描述 信息 ,或 者 是 无 法 组 织 成 任何 分 类 模式 时 ,可 以 采用 聚 
类 分 析 。 聚 类 和 分 类 的 区 别 是 聚 类 不 依赖 于 预先 定义 好 的 类 ,不 需要 训练 集 。 

统计 方法 中 的 聚 类 分 析 是 实现 聚 类 的 一 种 手段 , 它 主要 研究 基于 几何 距离 的 聚 
类 。 人 工 智 能 中 的 聚 类 是 基于 概念 描述 的 , 即 对 某 类 对 象 的 内 涵 进 行 描述 ,并 概括 这 
类 对 象 的 有 关 特 征 。 


15.2.2 数据 挖掘 的 方法 


当前 ,国内 外 许多 院 校 、. 科 研 机 构 .企业 和 学 术 团 体 都 致力 于 数据 挖掘 技术 的 研 
究 , 开 发 了 一 系列 实施 数据 挖掘 的 软件 工具 。 主 要 的 方法 包括 决策 树 、 关 联 规则 控 
掘 、 神 经 网 络 .遗传 算法 及 数据 可 视 化 .OLAP 等 。 

1. 决策 树 

决策 树 是 用 于 实现 数据 分 类 的 一 种 方法 。 通 过 针对 已 知 训练 数据 集 的 学 习 , 建 
立 起 用 于 对 后 续 数 据 进 行 分 类 的 决策 树 。 在 实施 分 类 时 则 利用 已 建立 的 决策 树 , 根 
据 数 据 属性 对 数据 所 属 的 类 型 进行 预测 。 决 策 树 是 采用 直观 的 形式 ,将 用 于 数据 分 
类 的 规则 进行 了 可 视 化 表示 ,以 提高 数据 分 析 过 程 的 直观 性 和 可 理解 性 。 决 策 树 方 
法 将 在 本 章 的 第 3 节 中 详细 介绍 。 

决策 树 方法 也 被 广泛 应 用 在 针对 安全 数据 的 处 理 中 ,用 以 生成 安全 事件 记录 的 
分 类 模型 并 用 于 事件 记录 的 分 类 。 


2. 神经 网 络 

神经 网 络 建立 在 自学 习 的 数学 模型 基础 之 上 , 它 可 以 对 大 量 复杂 的 数据 进行 分 
析 ,并 可 以 完成 对 计算 机 来 说 极为 复杂 的 模式 抽取 及 趋势 分 析 。 

神经 网 络 由 一 系列 类 似 于 人 脑 神经 元 一 样 的 处 理 单元 组 成 , 称 之 为 节点 Cnode) 。 
这 些 节 点 通过 网 络 彼此 互 连 , 如 果 有 数据 输入 :它们 便 可 以 进行 确定 数据 模式 的 工 
作 。 神 经 网 络 由 相互 连接 的 输入 层 、 中 间 层 (或 隐藏 层 ) 、 输 出 层 组 成 。 中 间 层 由 多 个 
节点 组 成 ,完成 大 部 分 网 络 工作 。 输 出 层 输出 数据 分 析 的 执行 结果 。 例 如 ,可 以 指定 
输入 层 为 代表 过 去 的 销售 情况 、 价 格 及 季节 等 因素 ,输出 层 便 可 输出 判断 本 季度 的 销 
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售 情况 的 数据 。 


3. 关联 规则 挖 握 

关联 规则 是 一 种 简单 却 很 实用 的 规则 , 它 描述 了 一 个 事物 中 某 些 属性 同时 出 现 
的 规律 和 模式 。 例 如 ,超级 市 场 中 通过 POS 系统 收集 存储 了 大 量 售 货 数据 ,记录 了 
什么 样 的 顾客 在 什么 时 间 购 买 了 什么 商品 ,这 些 数 据 中 常常 隐 含 着 关联 规则 。 关 联 
规则 挖掘 就 是 依据 一 定 的 置信 和 度 .支持 度 、. 期 望 置信 度 、 作 用 度 建立 起 关联 规则 的 过 
程 。 典 型 的 关联 规则 挖掘 方法 及 上 述 概念 的 定义 将 在 本 章 的 第 3 节 给 出 。 

4. 遗传 算法 

遗传 算法 是 一 种 基于 生物 进化 论 和 分 子 遗 传 学 的 搜索 优化 算法 。 它 首先 将 问题 
的 可 能 解 按 某 种 形式 进行 编码 ,编码 后 的 解 称 为 染色 体 ; 随 机 选取 N 个 染色 体 作为 
初始 种 群 ,再 根据 预定 的 评价 函数 对 每 个 染色 体 计 算 适 应 值 , 性 能 较 好 的 染色 体 有 较 
高 的 适应 值 ;选择 适应 值 较 高 的 染色 体 进行 复制 ,并 通过 遗传 算 子 ,产生 一 群 新 的 更 
适应 环境 的 染色 体 , 形 成 新 的 种 群 ,直至 最 后 收敛 到 一 个 最 适应 环境 的 个 体 ,得 到 问 
题 的 最 优 解 。 


5. 联机 分 析 处 理 

联机 分 析 处 理 (OLAP) 主 要 通过 多 维 的 方式 来 对 数据 进行 分 析 、 查 询 和 报表 。 
它 不 同 于 传统 的 联机 事务 处 理 (online transaction processing，OLTP) 应 用 。OLTP 
应 用 主要 是 用 来 完成 用 户 的 事务 处 理 , 如 民航 订 票 系统 、 银 行 储 蓄 系 统 等 ,通常 需要 
进行 大 量 的 更 新 操作 ,同时 对 响应 时 间 要 求 比较 高 。 而 OLAP 应 用 主要 是 对 用 户 当 
前 及 历史 数据 进行 分 析 ,辅助 领导 决策 。 其 典型 的 应 用 有 对 银行 信用 卡 风险 的 分 析 
与 预测 .公司 市 场 营 销 策略 的 制定 等 ,主要 是 进行 大 量 的 查询 操作 ,对 时 间 的 要 求 不 
太 严 格 。 

6. 数据 可 视 化 

对 大 批量 数据 的 有 效 展 现 也 是 数据 挖掘 的 重要 方面 。 由 于 数据 量 很 大 ,很 容易 
使 分 析 人 员 面 对 数据 不 知 所 措 , 数 据 挖 掘 的 可 视 化 工具 可 以 为 数据 分 析 人 员 提 供 很 
好 的 帮助 。 

数据 可 视 化 工具 大 大 扩展 了 传统 商业 图 形 的 能 力 ,支持 多 维 数据 的 可 视 化 ,从 而 
提供 了 多 方向 同时 进行 数据 分 析 的 图 形 方法 。 有 些 工 具 甚至 提供 动画 能 力 , 使 用 户 
可 以 观看 到 数据 不 同 层次 的 细节 。 


15.3 典型 的 数据 挖掘 方法 


15:3.1 关联 分 析 


考虑 一 些 涉及 许多 数据 项 的 事务 : 事务 1 中 出 现 了 物品 A ,事务 2 中 出 现 了 物 
品 BB, 事 务 3 中 则 同时 出 现 了 物品 A 和 B。 那 么 .物品 A 和 B 在 事务 中 的 出 现 相互 
之 间 是 否 有 规律 可 循 呢 ? 在 数据 库 的 知识 发 现 中 ,关联 规则 就 是 描述 这 种 在 一 个 事 
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务 中 物品 之 间 同 时 出 现 的 规律 的 知识 模式 。 更 确切 地 说 ,关联 规则 通过 量化 的 数字 
描述 物品 A 的 出 现 对 物品 B 的 出 现 有 多 大 的 影响 。 

设 R= 二 {i,1,…,1,) 是 一 组 数据 项 集 ,W 是 一 组 事务 集 。W 中 的 每 个 事务 工 
是 一 组 数据 项 , 且 满 足 TCR。 假设 有 一 个 数据 项 集 X, 一 个 事务 工 ,如 果 XS 工 , 则 
称 事务 T 支持 数据 项 集 X。 

我 们 所 要 发 掘 的 关联 规则 是 指 以 下 形式 的 一 种 数据 隐 含 规则 : 

X=>Y, 其 中 X,Y 是 两 组 数据 项 ,XCT,YCT,XNMY= 名 

一 般 用 以 下 4 个 参数 来 描述 一 个 关联 规则 的 属性 。 

定义 15.3.1 置信 和 度 Cconfidence): 置信 度 是 指 在 出 现 了 数据 项 集 X 的 事务 人 
中 ,数据 项 集 Y 也 同时 出 现 的 概率 , 即 PC(Y|X)。 

如 果 在 事务 集 W 中 所 有 支持 数据 项 集 X 的 事务 中 ,有 c% 的 事务 同时 也 支持 数 
据 项 集 Y, 则 c% 称 为 关联 规则 X=>Y 的 置信 和 度 。 如 上 面 所 举 的 牛奶 和 面包 的 例子 ， 
该 关联 规则 的 置信 度 就 回答 了 这 样 一 个 问题 : 如 果 一 个 顾客 购买 了 牛奶 ,那么 他 同 
时 也 购买 面包 的 可 能 性 有 多 大 呢 ? 在 上 述 例子 中 ,购买 牛奶 的 顾客 中 有 90% 的 人 购 
买 了 面包 , 所 以 置信 和 度 是 90% 。 

定义 15.3.2 支持 度 C(support) : 支持 度 描 述 了 XX 和 YY 这 两 个 数据 项 集 的 并 集 
C 在 所 有 的 事务 中 出 现 的 概率 , 即 P(XUY)。 

如 果 W 中 有 s% 的 事务 同时 支持 数据 项 集 久 和 Y, 则 s% 称 为 关联 规则 X 志 >Y 
的 支持 度 。 如 果 对 现 有 的 1000 条 销售 记录 进行 统计 ,结果 显示 有 100 个 顾客 同时 购 
买 了 牛奶 和 面包 ,那么 上 述 关 联 规则 的 支持 度 就 是 10% 。 

定义 15.3.3 期 望 置 信和 度 (expected confidence): 期 望 移 信和 度 描述 了 在 没有 任 
何 条 件 影响 时 ,数据 项 集 Y 在 所 有 事务 中 出 现 的 概率 . 即 PCY) 。 

如 果 W 中 有 e% 的 事务 支持 数据 项 集 Y., 则 e% 称 为 关联 规则 X=>Y 的 期 望 置信 
度 。 如 果 对 现 有 的 1000 条 销售 记录 进行 统计 ,结果 显示 有 200 个 顾客 购买 了 面包 ， 
则 上 述 的 关联 规则 的 期 望 置信 度 就 是 202%% 。 

定义 15.3.4 作用 度 Clift) : 作用 度 是 置信 度 与 期 望 置信 度 的 比值 , 即 PCY|X)/ 
PY 

作用 度 描述 数据 项 集 X 的 出 现 对 数据 项 集 Y 的 出 现 的 影响 程度 。 因 为 数据 项 
集 Y 在 所 有 事务 中 出 现 的 概率 是 期 望 置信 和 度 ;而 数据 项 集 Y 在 有 数据 项 集 X 出 现 
的 事务 中 出 现 的 概率 是 置信 和 度 , 通 过 置信 度 对 期 望 置信 度 的 比值 反映 了 在 加 入 “数据 
项 集 X 出 现 ” 的 这 个 条 件 后 ,数据 项 集 Y 的 出 现 概率 发 生 了 多 大 的 变化 。 

置信 度 是 对 关联 规则 准确 度 的 衡量 ,支持 度 则 是 对 关联 规则 重要 性 的 衡量 。 支 
持 度 说 明了 这 条 规则 在 所 有 事务 中 有 多 大 的 代表 性 ,显然 支持 度 越 大 ,关联 规则 越 重 
要 。 有 些 关联 规则 置信 度 虽 然 很 高 ,但 支持 度 却 很 低 .说明 该 关联 规则 实用 的 概率 很 
小 ,因此 并 不 重要 。 

期 望 置信 度 描述 了 在 没有 数据 项 集 X 的 作用 下 ,数据 项 集 Y 本 身 的 支持 度 ; 作 
用 度 描述 了 数据 项 集 X 对 数据 项 集 Y 的 影响 力 。 作 用 度 越 大 ,说 明 数 据 项 集 Y 受 数 
据 项 集 X 的 影响 越 大 。 一 般 情况 下 ,有 用 的 关联 规则 的 作用 度 都 应 该 大 于 1, 只 有 关 
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联 规则 的 置信 和 度 大 于 期 望 置信 和 度 , 才 说 明 X 的 出 现 对 立 的 出 现 有 促进 作用 ,也 说 明了 
它们 之 间 某 种 程度 的 相关 性 ,如果 作用 度 不 大 于 1, 则 此 关联 规则 也 就 没有 意义 了 。 

关联 分 析 的 目的 是 从 已 知 的 事务 集 W 中 .产生 数据 项 集 之 间 的 关联 规则 ,保证 
其 支持 度 和 和 置信 度 大 于 用 户 预 先 指定 的 最 小 支持 度 (minimum support) 和 最 小 置信 
度 (minimum confidence) 。 发 掘 关 联 规则 通常 可 分 为 以 下 两 个 步骤 进行 。 

第 一 步 ,从 事务 集 W 中 找 出 所 有 支持 度 大 于 最 小 支持 度 的 数据 项 集 , 称 之 为 大 数 
据 项 集 (large itemsets) ,其 他 不 满足 支持 度 要 求 的 数据 项 集 则 称 为 小 数据 项 集 (small 
itemsets) 。 这 部 分 工作 通常 采用 Apriori、AprioriTid、AprioriHybrid 等 算法 来 完成 。 

第 二 步 , 使 用 大 数据 项 集 产生 期 望 的 关联 规则 。 产 生 关联 规则 的 基本 原则 是 其 
置信 度 必 须 大 于 预先 指定 的 门限 值 , 即 最 小 置信 度 。 

下 面 分 别 介 绍 这 两 个 步骤 所 采用 的 具体 算法 。 


1. 发 握 大 数据 项 集 

这 里 首先 给 出 一 些 重要 概念 的 定义 和 表示 方法 。 

定义 15.3.5 尺寸 (size) : 表示 一 个 数据 项 集中 包含 的 数据 项 数目 。 

Aitemset 表示 尺寸 为 k& 的 数据 项 集 ;cL1]。，cL2]。，…。，c[Lk] 分 别 表 示 包 含 cL1]， 
c[2],…,c[Lkj 的 kitemset, 并 且 满 足 cL[1] 二 cL2j 二 … 二 cLkj;Ls 表示 第 & 轮 计算 过 
程 得 到 的 尺寸 为 的 大 数据 项 集 ;C 表示 第 k 轮 计算 过 程 得 到 的 尺寸 为 的 候选 数 
据 项 集 (candidate itemsets)。 

下 面 介 绍 两 种 典型 的 用 于 发 掘 大 数据 项 的 算法 : Apriori 和 AprioriTid。 

(1) Apriori 算法 

图 15.2 给 出 了 Apriori 算法 的 流程 。Apriori 算法 根据 轮 循 传递 的 原理 来 发 现 
事务 集中 支持 度 大 于 最 小 支持 度 的 大 数据 项 集 。 每 一 轮 中 检查 的 数据 项 集 所 包含 的 
数据 项 数目 依次 递增 。 


五 ={flarge 1- itemsets}; 
for(k=2; Zr: 和 关 0; k++)do begin 
Ce=apriori- gen (Lx1); 
forall transactions t€ Wdo begin 
Ce= subset (GC, t); 
forall candidates cE C. do 
c.count++; 
end 
Ix= {cE Cx | c.count>min sup}; 


oo AanrwDpre 


10. end 
11. Answer= U zx 到 


15.2 ”Apriori 算法 流程 


在 第 一 轮 ,扫描 整个 事务 集 , 对 单个 数据 项 的 支持 度 进行 计数 ,得 到 满足 最 小 支 
持 度 要 求 的 数据 项 。 随 后 进行 的 每 一 轮 ( 第 & 轮 ) 计 算 过 程 分 为 两 个 步骤 ,首先 根据 
上 一 轮 ( 第 & 一 1 轮 ) 发 现 的 大 数据 项 集 Lo ;为 种 子 集合 ,调用 apriori-gen() 函 数 产 生 
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第 & 轮 的 候选 数据 项 集 Cs; 然 后 扫描 整个 事务 集 , 对 Ce 中 的 每 个 候选 集 的 实际 支持 
度 进行 检查 ,得 到 本 轮 满 足 最 小 支持 度 要 求 的 大 数据 项 集 Le 作为 下 一 轮 计 算 的 种 
子 集合 ,此 步骤 中 需要 调用 subset() 函 数 , 用 于 得 到 C 中 所 有 被 事务 上 包含 的 候选 
数据 项 集 。 如 此 反复 进行 轮 循 计算 ,直到 没有 新 的 大 数据 项 集 产生 。 此 处 不 再 给 出 
apriori-gen() 函 数 和 subset() 函数 的 详细 流程 。 

(2) AprioriTid 算法 

图 15. 3 给 出 了 AprioriTid 算法 的 流程 。 该 算法 同样 使 用 apriori-gen 函数 来 根 
据 上 一 轮 得 到 的 工 ,_1 产 生 本 轮 的 候选 数据 项 集 Ce。 它 的 一 个 突出 的 优点 是 : 在 第 
一 轮 计算 过 程 之 后 ,将 不 再 需要 访问 原始 数据 库 来 计算 数据 项 集 的 支持 度 ,而 采用 加 


上 事务 标识 (TID) 的 候选 数据 项 集 C。 来 代替 。 


1. 五 = {large 1- itemsets}; 


2. C=database D; 
3. for (k=2; 到: 天 0; k++)do begin 
4 Ce= apriori- gen (Le1); 


G=2; 


a 


6. forall entries t€ G.ido begin 
7. C={cEC|(c-c(K))Et.set-of-itemsetsM\ (c-c(k-1))Et.set- of- itemsets} 


8. forall candidates cE C: do 
9. c.count++;? 


10. if(C.AzC)thenC+=<t.TID,C.>; 


11. end 
12. 有 = {cE Glc.count>min sup}; 
13. end 


14. answer= U -zx 


15.3 ”AprioriTid 算法 流程 


C 中 的 每 个 成 员 表示 为 (TID: {Xi)) 的 形式 ,每 个 X 对 应 于 一 个 在 时 间 标 识 为 
TID 的 事务 中 存在 的 尺寸 为 k 的 大 数据 项 集 (large kitemset)。 当 二 1 时 ,Ch 对 应 于 
整个 原始 数据 库 ,仅仅 将 每 个 数据 项 i 用 长 度 为 1 的 数据 项 集 { 寻 来 代替 ; 当 A>1 时， 
使 用 图 中 第 10 步 的 算法 来 生成 Cs.C* 中 对 应 于 事务 t 的 成 员 是 (z. TID: {cEG 1c<t)》， 
其 中 c<t 表示 c 被 事务 1 包含。 如 果 一 次 事务 没有 包含 任何 尺寸 为 & 的 候选 数据 项 集 ， 


那么 C。 中 就 没有 对 应 于 该 事务 的 条 目 。 


2. 产生 规则 

得 到 数据 库 中 存在 的 大 数据 项 集 后 ,下 一 步 需要 生成 满足 条 件 的 关联 规则 。 生 
成 关联 规则 的 原则 是 : 

对 于 每 一 个 大 数据 项 集 /, 考 虑 ! 所 有 的 非 空 子 集 a 。 对 每 一 个 子 集 a 来 说 ,如 
果 满 足 : 
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support (1)/support (a) >=minimum confidence (最 小 置信 度 ) 


那么 就 可 以 输出 一 条 规则 : < 一 (一 <) 

可 以 采用 深度 优先 的 方式 来 递归 地 产生 大 数据 项 集 的 子 集 。 例 如 ,对 于 数据 项 
集 ABCD, 首 先 考 虑 子 集 ABC, 然 后 考虑 子 集 AB,…。 如 果 大 数据 项 集 ! 的 某 个 子 
集 a 不 能 产生 满足 置信 度 要 求 的 规则 ,那么 a 的 任意 子 集 45 也 就 不 必 考 虑 了 。 这 是 
因为 support (0) 二 一 support (a), 因 此 必然 有 : support (1)/support (0) 一 一 
support(71)/support(a), 即 规则 5 二 (一 5) 的 置信 和 度 小 于 等 于 规则 a 二 (1 一 a) 的 置信 
度 。 算 法 流程 见 图 15. 4。 


forall large itemsets 1:, k=2, do 
Call genrules (14,11); 
Procedure genrules (1:: large k- itemsets,a,: large m- itemsets) 
1. A={(nm1)-itemsets anil|ar1C an}; 
2. forall a, EA do begin 
3 conf= support (JIxz) /support (as1); 
4. if(conf>minconf)then begin 
5 utput the rule ar: 一 (lk- an1) ,With confidence= conf and support= support (1x) 
6 if (nr 1>1)then 
7 Call genrules (li:, an1); 
8 
8 


15.4 关联 规则 发 掘 算法 流程 1 


如 果 规 则 a 二 (一 a) 不 成 立 , 那 么 a 的 任意 子 集 也 就 不 满足 6 二 (1 一 5)。 因 此 ， 
如 果 规 则 (4 一) 过 ec 成立, 那么 c 的 任意 子 集 d 也 就 满足 (1 一 d) 二 d。 基 于 这 种 考虑 ， 
如 果 已 知 尺寸 为 k 一 1 的 数据 项 集 的 集合 Hi-1 .规则 (1 一 4d) 二 d( Vd € Fi) 满足 置 
信和 度 要 求 , 那 么 可 以 使 用 apriori-gen() 函数 来 推出 尺寸 为 & 的 候选 数据 项 集 的 集合 
理 , ,再 对 Hi 中 的 每 个 候选 数据 项 集 e 检查 其 对 应 规则 (1 一 e) 二 el( Ve E ED) 的 置信 
度 ,删除 不 符合 置信 和 度 要 求 的 数据 项 集 , 从 而 得 到 尺寸 为 & 的 满足 要 求 的 数据 项 集合 
HH:。 图 15.5 给 出 了 该 算法 的 流程 。 


15.3.2 序列 挖掘 


从 本 质 上 说 .序列 挖掘 算法 属于 关联 分 析 算 法 的 范畴 ,其 区 别 在 于 关联 分 析 是 发 
掘 数据 记录 中 不 同 数据 项 之 间 的 横向 关联 性 ,而 序列 挖掘 则 是 发 现 不 同 数据 记录 之 
间 的 纵向 相关 性 。 序 列 挖掘 的 目标 是 在 事务 数据 库 中 发 掘 出 序列 模式 (large 
seduences), 即 满足 用 户 指 定 的 最 小 支持 度 要 求 的 大 序列 ,并 且 该 序列 模式 必须 是 最 
高 序列 Cmaximal sequence) 。 

这 里 首先 介绍 序列 挖掘 中 的 一 些 重要 定义 。 

定义 15.3.6 序列 (sequence): 序列 表示 按 顺序 排列 的 一 组 数据 项 集 。 
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1. forall large k- itemsets 1:, k=>2 do begin 

向 f= {consequents of rules derived from 1 with one item in the consequent}; 
3 Call ap- genrules (1:, FH ); 

4. end 


Procedure ap- genrules (1:: large k- itemsets, AH: set of m- item consequents 
if(I>mt1)then begin 
Hx1=apriori- gen (FH); 
foral1P € 所 ,do begin 
conf= support (IJxz) /support (JIz 一 Pei)7 
if (conf>minconf)then 
output the rule (Jrz- hl) 一 hs! with confidence= conf and 
support= support (17); 
else 
delete h.,, from FH ; 
end 
Call ap- genrules (1 ,Hm1); 


15.5 关联 规则 发 掘 算法 流程 2 


定义 15.3.7 序列 的 包含 (contain): 对 序列 A:{acs… a,)} 和 序列 B: (0165。… b,,)， 
如 果 存 在 整数 记过 i 二 … 一 i, 使 得 所 bi ,azS0 av 三 六 ,就 称 序 列 A 被 序列 
B 包含 , 记 为 A<B。 

定义 15.3.8 最 高 序列 (maximal sequence): 没有 被 其 他 任何 序列 所 包含 的 
序列 。 

定义 15.3.9 数据 项 集 的 支持 度 (support for an itemset): 在 一 次 事务 中 包含 
了 该 数据 项 集中 所 有 数据 项 的 主体 在 全 部 主体 中 所 占 的 比例 。 

定义 15.3.10 大 数据 项 集 (litemset,large itemset) : 满足 最 小 支持 度 要 求 的 数 
据 项 集 。 

定义 15.3.11 大 序列 (large sequence): 一 组 大 数据 项 集 的 列表 ,大 序列 中 的 每 
一 个 数据 项 集 都 必须 是 大 数据 项 集 。 

挖掘 序列 模式 通常 分 为 以 下 5 个 步骤 进行 。 

(1) 排序 阶段 : 以 事务 的 主体 为 主键 ,事务 时 间 为 次 键 ,对 原始 数据 库 进 行 排 
序 , 将 其 转换 为 主体 序列 的 数据 库 。 

(2) 大 数据 项 阶段 : 找 出 所 有 的 大 数据 项 集 工 (此 过 程 也 相当 于 找 出 了 所 有 长 度 
为 1 的 大 序列 ) ,并 把 大 数据 项 集 映射 为 一 组 相 邻 的 整数 ,每 个 大 数据 项 集 对 应 一 个 


整数 。 
(3) 转换 阶段 : 将 数据 库 中 主体 序列 的 每 一 次 事务 用 该 事务 包含 的 大 数据 项 集 
(映射 的 整数 ) 代 替 。 


(4) 序列 阶段 : 利用 大 数据 项 集 发 掘 序列 模式 ,该 阶段 是 序列 挖掘 的 关键 步骤 。 
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(5) 序列 最 高 化 阶段 : 找 出 所 有 序列 模式 的 最 高 序列 集 。 

按照 计数 方式 的 不 同 ,序列 挖掘 算法 分 为 以 下 两 个 大 类 : 一 类 称 为 Count-all 算 
法 , 即 通过 对 所 有 的 大 序列 (包括 非 最 高 序列 ) 进 行 计数 来 计算 支持 度 , 代 表 算 法 是 
AprioriAll; 另 一 类 称 为 Count-some 算法 , 即 通 过 避免 或 减少 对 那些 被 更 长 序列 所 
包含 的 序列 进行 计数 来 提高 系统 性 能 ,代表 算法 是 AprioriSome 和 DynamicSome。 
下 面 简单 介绍 这 几 种 典型 的 序列 挖掘 算法 。 

1. AprioriAll 算法 

算法 流程 如 图 15.6 所 示 。 在 每 一 轮 计 算 过 程 中 ,使 用 上 一 轮 得 到 的 大 序列 产生 
本 轮 的 候选 大 序列 (candidate sequences) ,再 访问 事务 数据 库 , 计 算 候 选 大 序列 的 支 
持 度 , 得 到 本 轮 的 计算 结果 。 


= {large 1- sequences}; 
for (Ik-2; Ln Oikt+)do 
begin 
Ce=apriori- candidate- generation (Li1) 7 
foreach customer- sequence c in the database do 
Increment the count of all candidates in Cr that are contained in c 
Lx=Candidates in Cr with minimum support 
end 


Answer=Maximal sequences in Us 


15.6 AprioriAll 算法 流程 


从 图 中 可 以 看 出 ,该 算法 中 需要 完成 两 个 重要 也 数 : Apriori-candidate- 
generation() 函数 输入 上 一 轮 得 到 的 大 序列 Lo ,输出 本 轮 的 候选 大 序列 Ce; 
Subsequence() 函 数 输入 候选 大 序列 集 Ct 和 客户 序列 c ,输出 c 中 包含 的 Ci 中 的 候 
选 大 序列 ,用 于 计算 候选 大 序列 的 支持 度 。 

2. AprioriSome 算法 

AprioriAll 算法 在 每 一 轮 中 生成 候选 大 序列 集 Ci 后 .都 要 访问 数据 库 对 Cs 中 
的 序列 进行 支持 度 检查 .如 果 数 据 库 记录 很 多 的 话 ,这 将 花费 大 量 的 时 间 。 基 于 这 种 
考虑 ,人 们 提出 了 一 种 AprioriAll 的 改进 算法 一 一 AprioriSome。 

AprioriSome 算法 将 计算 过 程 分 为 两 个 阶段 : 前 向 阶段 (forward phase) 用 于 找 
出 指定 长 度 的 所 有 大 序列 ;后 向 阶段 (backward phase) 则 用 于 查找 其 他 长 度 的 所 有 
大 序列 。 图 15.7 给 出 了 AprioriSome 算法 的 流程 。 


3. DynamicSome 算法 

DynamicSome 算法 与 AprioriSome 算法 类 似 . 在 前 向 阶段 跳 过 了 对 某 些 长 度 的 
候选 序列 进行 访问 数据 库 、 计 算 支 持 度 的 工作 。 对 哪些 长 度 的 候选 序列 进行 计数 取 
决 于 预先 指定 的 步 长 (step)。DynamicSome 算法 流程 如 图 15. 8 所 示 。 


可 信息 安全 中 的 数学 方法 与 技术 
// Forward Phase 
= {large 1- sequences}; 
G=; 
Last=1; 
for (k=2; Ce iF and as FC; k++)do 
begin 


if (Te ilknown) then 
Ce=apriori- candidate- generation (Zei) > 
else 
Ce=apriori- candidate- generation (Cei) 7 
if (k==next (last))then begin 
foreach customer- sequence c in the database do 
Increment the count of all candidates in CGC that are contained in c 
Lx=Candidates in Ce with minimum support 
last=k 
end 
end 


//Backward Phase 

for(k-—; kK>=1; Kk--)do 

df (Ze was not determined in the forwared phase) then begin 
Gelete all sequences in Ce contained in some Li,i>k; 
foreach customer- sequence c in Dr do 

Increment the count of all candidates in CGC that are contained in c 

Lx=Candidates in Ce with minimum support 
end 

else begin 
Gelete all sequences in Lx contained in some Li, i>k 
end 

Answer= UU :Lx 


15.7 ”AprioriSome 算法 流程 


XK= subseq (Ix, C); 
forall sequences xE€E 六 do 
x.end=min{jlx< {GG o}}; 
=subseq (DL,c); 
forall sequences xGE % do 
x.start=—max{j|lx< {Gc CG }}; 
Answer= join of X with % with the join condition %.end < .start 


15.8 DynamicSome 算法 流程 
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15.3.3 数据 分 类 


数据 分 类 的 目的 是 提取 数据 库 中 数据 项 的 特征 属性 ,生成 分 类 模型 ,该 模型 可 
以 把 数据 库 中 的 数据 记录 映射 到 给 定 类 别 中 的 一 个 。 典 型 的 数据 分 类 处 理 步骤 
如 下 : 

(1) 获得 训练 数据 集 (training set) ,该 数据 集中 的 数据 记录 具有 和 目标 数据 库 
中 数据 记录 相同 的 数据 项 。 

(2) 训练 数据 集中 每 一 条 数据 记录 都 有 已 知 的 类 型 标识 与 之 相关 联 。 

(3) 分 析 训 练 数 据 集 ,提取 数据 记录 的 特征 属性 ,为 每 一 种 类 型 生成 精确 的 描述 
模型 。 

(4) 使 用 得 到 的 类 型 描述 模型 对 目标 数据 库 中 的 数据 记录 进行 分 类 或 生成 优化 
的 分 类 模型 (分 类 规则 ) 。 

构造 数据 分 类 模型 的 具体 方法 有 很 多 ,如 统计 学 .机 器 学 习 、 神 经 网 络 .专家 系统 
等 。 下 面 对 其 中 典型 的 基于 决策 树 及 基于 统计 的 分 类 方法 进行 介绍 。 

1. 基于 决策 树 的 分 类 

决策 树 是 用 于 实现 数据 分 类 的 常用 方法 。 在 决策 树 的 每 个 内 部 节点 上 选用 一 个 
属性 进行 分 制 ,每 个 分 支 代表 一 个 测试 输出 ,决策 树 的 叶子 节点 表示 一 个 类 分 布 。 例 
如 ,给 出 如 表 15. 1 所 示 的 示例 数据 记录 。 


表 15.1 数据 分 类 示例 数据 记录 


根据 上 述 记 录 可 以 生成 用 于 分 辨 记 录 类 型 的 决策 树 如 图 15. 9 所 示 。 
3 使 用 决策 树 方法 进行 数据 分 类 时 ,首先 
利用 训练 样本 ,在 开始 阶段 将 数据 设置 在 根 
节点 ,采用 递归 方式 进行 数据 分 割 ,基于 启发 
式 规则 或 统计 度量 来 选择 分 类 属性 ,生成 决 
策 树 模型 。 在 此 基础 上 去 除 一 些 可 能 是 噪声 
或 者 异常 的 数据 ,从 而 实现 决策 树 剪 枝 。 针 
对 未 知 类 型 的 数据 记录 ,按照 决策 树 采用 的 
分 割 属性 逐 层 往 下 ,直至 到 达 某 个 叶子 节点 ， 
从 而 使 用 决策 树 对 该 数据 记录 进行 分 类 。 
数据 分 割 过 程 中 停止 分 割 的 条 件 是 : 一 
个 节点 上 的 数据 都 属于 同一 个 类 别 . 并 且 没有 属性 可 以 再 用 于 对 数据 进行 分 割 。 在 
数据 分 类 算法 中 ,属性 的 选择 是 至 关 重 要 的 , 它 关 系 到 是 否 能 够 生成 准确 描述 分 类 特 


15.9 决策 树 示 例 
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征 的 决策 树 。 属 性 选择 度量 标准 主要 有 以 下 3 类 。 

(1) 信息 增益 (information gain) 

以 ID3 算法 为 代表 ,其 基本 思想 是 : 决策 树 的 每 个 节点 对 应 一 个 非 类 别 属性 ,每 
条 边 对 应 该 属性 的 每 个 可 能 值 。 以 信息 炉 的 下 降 速 度 作为 选取 测试 属性 的 标准 , 即 
所 选 的 测试 属性 是 从 根 到 当前 节点 的 路 径 上 尚未 被 考虑 的 具有 最 高 信息 增益 的 
属性 。 

(2) 增益 比率 (gain ration) 

以 C4.5 算法 为 代表 ,其 基本 思想 是 : 利用 增益 比率 的 概念 ,合并 连续 值 属性 。 
该 方法 可 以 处 理 缺 少 属性 值 的 训练 样本 ,并 通过 使 用 不 同 的 剪 枝 技 术 以 避免 树 的 不 
平衡 。 

(3) 基尼 指数 (gini index) 

以 SLIQ、SPRINT 算法 为 代表 ,其 基本 思想 是 : 假设 数据 集 工 包 含 来 自 N 个 类 
的 样本 ,通过 预定 义 的 基尼 指数 ,计算 某 个 划分 将 数据 集 工分 成 两 个 子 集 S; 和 5S。 
后 的 分 割 基尼 指数 ,提供 最 小 分 割 基 尼 指 数 的 就 被 选择 作为 分 割 的 标准 。 

在 基于 决策 树 的 分 类 方法 中 , 树 的 剪 枝 问题 是 需要 重点 关注 的 。 剪 枝 的 目的 是 
消除 决策 树 的 过 适应 问题 。 

定义 15.3.12 过 适应 (overfitting): 过 适应 是 指 推出 过 多 的 假设 与 训练 数据 集 
相 一 致 ,导致 所 作出 的 假设 泛 化 能 力 过 差 。 

剪 枝 的 实质 是 消除 训练 集中 的 异常 和 噪声 。 实 现 树 剪 枝 的 方法 主要 有 先 剪 枝 法 
( 即 提前 停止 树 的 构造 ) 和 后 剪 枝 法 ( 即 树 完 全 生长 后 再 剪 枝 ) 两 种 。 剪 枝 标准 可 以 采 
用 最 小 描述 长 度 厚 则 CMDL) ,因为 根据 MDL 原则 ,对 数据 进行 编码 的 最 佳 模 型 是 使 
得 用 该 模型 描述 数据 和 描述 这 个 模型 的 代价 的 和 最 小 的 模型 ,因此 在 前 枝 时 对 决策 
树 进 行 二 进 制 编 码 ,编码 所 需 二 进 制 位 最 少 的 树 即 为 “最 佳 剪 枝 树 ”; 剪 枝 标准 也 可 以 
采用 期 望 错 误 率 最 小 原则 , 即 对 树 中 的 内 部 节点 计算 其 剪 枝 / 不 剪 枝 可 能 出 现 的 期 望 
错误 率 ,比较 后 加 以 取舍 。 

2. 基于 统计 的 分 类 

基于 决策 树 的 分 类 是 一 种 确定 性 分 类 问题 , 即 可 以 唯一 地 确定 一 条 数据 记录 所 
属 的 类 型 ,但 在 实际 情况 中 ,往往 会 出 现 类 别 重 倒 现象 ,此 时 的 数据 分 类 问题 就 转变 
为 预测 给 定 样本 属于 一 个 特定 类 的 概率 。 朴 素 贝 叶 斯 分 类 算法 就 是 解决 这 一 问题 的 
典型 方法 。 

朴素 贝 叶 斯 分 类 是 假定 一 个 属性 值 对 给 定 类 的 影响 独立 于 其 他 属性 的 值 , 预 测 
未 知 样本 的 类 别 为 后 验 概率 最 大 的 那个 类 别 。 贝 叶 斯 定理 提供 了 后 验 概率 的 计算 方 
法 , 即 


_ PKI HP 
P(H | X) 一 a 


其 中 P(X) 为 X 的 先 验 概率 ;P(H) 为 H 的 先 验 概率 ;P(X| 互 ) 为 条 件 肪 下 XX 的 后 
验 概率 ;P( 瓦 |X) 为 条 件 X 下 互 的 后 验 概率 。 
设 样本 及 个 属性 (Al,A,,…,A,), 每 个 样本 可 看 作 是 n 维 空 间 的 一 个 点 
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和 一 (zi,zz，…，zo)。 假 定 有 7 个 不 同 的 类 别 C1 ,Cs,，…,C。XX 是 一 个 未 知 类 别 的 
样本 。 

预测 X 的 类 别 为 后 验 概率 最 大 的 那个 类 别 , 即 算法 将 未 知 类 别 的 样本 X 归 到 类 
Ci, 当 且 仅 当 PCCiX) 二 PCCi1X) 对 于 所 有 的 j 成 立 (1 亿 j 寺 mm,j 关 让 , 即 PC(Ci|X) 
最 大 。 

根据 贝 叶 斯 定理 得 知 : PCC;|X) 王 PCXICD)PCCD)VPCX)。 由 于 PCX) 对 于 所 
有 类 为 常数 ,因此 只 需 P(X|1C;)P(C;) 取 最 大 值 即 可 。 类 的 先 验 概率 P(C;) 由 
P(Ci) 二 Si/s 估算 ,其 中 S; 为 训练 样本 中 属于 类 C; 的 样本 数 ,s 为 全 部 训练 样本 的 
样本 数 ;P(XIC;) 则 由 P(X1Ci)= 二 P(ri1C;)P(Czxz1Ci;)…P(zx,|C;) 估 算 。 

对 未 知 样本 X 分 类 ,对 每 个 类 C; 都 计算 P(X|1C;)P(C;)。 样 本 X 被 指派 到 类 
Ci, 当 且 仅 当 P(X1Ci)P(C;)P(X|Cj)P(C), (1 三 j 二 m,j 关 让 即 X 被 指派 到 其 
P(X|C;)P(C;) 最 大 的 类 C;。 


15.3.4 聚 类 


聚 类 也 称 为 复 (cluster) ,是 指 一 个 数据 对 象 的 集合 。 其 特点 是 在 同一 个 类 中 的 
对 象 之 间 有 具有 相似 性 ,而 在 不 同类 的 对 象 之 间 是 相 异 的 。 聚 类 分 析 就 是 把 一 个 给 定 
的 数据 对 象 集合 分 成 不 同 的 簇 的 过 程 。 

聚 类 是 一 种 无 监督 分 类 法 ,没有 预先 指定 的 类 别 。 其 典型 的 应 用 是 作为 一 个 独 
立 的 分 析 工 具 , 用 于 了 解数 据 的 分 布 , 或 作为 其 他 算法 的 一 个 数据 预 处 理 步骤 。 聚 类 
分 析 在 市 场 销售 、 土 地 使 用 .保险 ,城市 规划 .地 震 研 究 等 各 个 领域 获得 了 广泛 的 
应 用 。 

一 个 好 的 聚 类 方法 要 能 产生 高 质量 的 聚 类 结果 禾 。 这 些 簇 要 具备 两 个 特 
点 , 即 高 的 簇 内 相似 性 和 低 的 簇 间 相 似 性 。 聚 类 结果 的 好 坏 取 决 于 该 聚 类 方法 采用 
的 相似 性 评估 方法 以 及 该 方法 的 具体 实现 , 聚 类 结果 的 好 坏 还 取决 于 该 聚 类 方法 是 
能 发 现 某 些 还 是 所 有 的 隐 含 模式 。 通 常 来 说 , 聚 类 算法 需要 满足 以 下 特性 : 

。 可 伸缩 性 ; 

。 能 够 处 理 不 同类 型 的 属性 ; 

。 能 发 现任 意 形状 的 簇 ; 

。 在 决定 输入 参数 时 ,尽量 不 需要 特定 的 领域 知识 ; 

。 能 够 处 理 品 声 和 异常 ; 

。 对 输入 数据 对 象 的 顺序 不 敏感 ; 

。 能 处 理 高 维 数据 ; 

。 能 产生 一 个 好 的 、 能 满足 用 户 指定 约 东 的 聚 类 结果 ; 

。 结果 是 可 解释 的 、 可 理解 的 和 可 用 的 。 

对 于 聚 类 算法 而 言 : 如 何 衡量 两 个 对 象 之 间 的 相似 度 ( 相 异 度 ) 是 至 关 重 要 的 。 
通常 使 用 距离 来 进行 衡量 。 对 不 同类 型 的 变量 ,距离 函数 的 定义 通常 是 不 同 的 ,而 
且 :, 根 据 实 际 的 应 用 和 数据 的 语义 ,在 计算 距离 时 ,不 同 的 变量 有 不 同 的 权 值 相 联系 。 
常用 的 距离 度量 方法 如 下 。 
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(1) 明 考 斯 基 距 离 
d(i,j) = el 2 一 2 1? 十 | Ee 1 十 … 十 | Ti 一 Ti | 

其 中 ,i (zi ,xz so Ti ) 和 了 一 (zh ,zi ，… ,zj, ) 是 两 个 Pp 维 的 数据 对 象 ,g 是 一 个 
正 整 数 。 

(2) 曼哈顿 距离 

当 上 述 公 式 中 的 g 二 1 时 ,此 时 得 到 的 计算 结果 称 为 曼哈顿 距离 , 即 

ej) | 2 一 并 | 十 | 二 一 | 站 =… 丰 | i 一 二 | 
(3) 欧 几 里 得 距离 
当 上 述 公 式 中 的 g 二 2 时 ,此 时 得 到 的 计算 结果 称 为 欧 几 里 得 距离 , 即 


2 


doi = Vz a [TH zs i, [Te TFT x — i, 1) 
距离 函数 有 以 下 特性 : 
。 d(i,) 宇 0 
», d=0 


。 d(i,j)=d(j,i) 
。 di,)Sddik) tdk,j) 
可 以 根据 每 个 变量 的 重要 性 赋予 一 个 权重 来 帮助 提高 聚 类 的 准确 性 。 


15.4 应 用 举例 


数据 挖掘 目前 在 医学 .经 济 学 地质 学 .气象 学 等 多 个 领域 均 有 成 功 的 应 用 案例 。 
随 着 越 来 越 多 的 业务 需求 被 不 断 明 确 , 数 据 挖 掘 应 用 的 领域 和 解决 的 问题 会 越 来 越 
广泛 。 一 些 应 用 系统 ,如 ERP、SCM HR 等 系统 也 逐渐 与 数据 挖掘 集成 起 来 ,用 以 
提高 系统 的 决策 支持 能 力 。 这 方面 的 研究 热点 包括 数据 挖掘 与 商业 智能 (BI)、 
CRM、WEB 应 用 的 结合 。 

数据 挖掘 技术 在 信息 安全 领域 也 得 到 了 广泛 的 应 用 ,由 于 其 具有 对 海量 数据 进 
行 智能 化 分 析 并 从 中 挖掘 出 有 价值 信息 的 特性 ,而 海量 数据 的 处 理 正 是 众多 安全 审 
计 系 统 和 入 侵 检 测 系 统 所 普遍 面临 的 难题 ,因此 在 这 两 项 安全 技术 上 率先 得 到 了 应 
用 。 本 节 将 简单 介绍 数据 挖掘 技术 在 这 两 方面 的 一 些 应 用 现状 。 

入 侵 检测 Cintrusion detection) 技 术 实 质 上 归结 为 对 安全 审计 数据 的 处 理 。 这 种 
处 理 可 以 针对 网 络 数据 ,也 可 以 针对 主机 的 审计 记录 、 应 用 程序 的 日 志文 件 或 其 他 类 
型 的 审计 数据 。 安 全 事件 审计 系统 作为 保障 信息 系统 安全 的 基础 部 件 . 已 越 来 越 多 
地 被 应 用 到 操作 系统 和 网 络 安全 管理 工具 中 。 针 对 安全 事件 审计 数据 的 分 析 处 理 ， 
其 目的 正 是 为 了 发 现 系 统 或 用 户 行为 的 异常 。 然 而 ,操作 系统 的 日 益 复杂 化 和 网 络 
数据 流量 的 急剧 膨胀 ,导致 了 安全 审计 数据 同样 以 惊人 的 速度 激增 。 激 增 的 数据 背 
后 隐藏 着 许多 重要 的 信息 ,人 们 希望 能 够 对 其 进行 更 高 抽象 层次 的 分 析 ,以 便 更 好 地 
利用 这 些 数 据 。 目 前 的 审计 系统 可 以 高 效 地 实现 安全 审计 数据 的 输入 查询、 统计 等 
功能 ,但 无 法 发 现 数据 中 存在 的 关联 .关系 和 规则 ,无 法 根据 现 有 的 数据 预测 未 来 的 
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发 展 趋势 ,缺乏 挖掘 数据 背后 隐藏 的 知识 的 手段 :导致 了 “数据 爆炸 但 知识 贫乏 ”的 
现象 。 

如 何 从 大 量 的 审计 数据 中 提取 出 具有 代表 性 的 系统 特征 模式 ,用 于 对 程序 或 用 
户 行为 作出 描述 ,是 实现 安全 事件 审计 系统 的 关键 。 为 了 对 审计 数据 进行 全 面 、 高 速 
和 准确 的 分 析 , 需 要 利用 如 数据 挖掘 、 机 器 学 习 等 智能 方法 来 处 理 安全 事件 数据 ,从 
包含 大 量 宛 余 信 息 的 数据 中 提取 出 尽 可 能 多 的 隐藏 的 安全 信息 ,抽象 出 利于 进行 判 
断 和 比较 的 特征 模型 ,这 种 特征 模型 可 以 是 基于 误 用 检测 (misuse detection) 的 特征 
向 量 模型 ,也 可 以 是 基于 异常 检测 (anomaly detection) 的 行为 描述 模型 。 根 据 这 些 
特征 向 量 模 型 和 行为 描述 模型 ,可 以 由 计算 机 利用 相应 的 算法 判断 出 当前 网 络 或 系 
统 行 为 的 性 质 。 

数据 挖掘 本 身 是 一 项 通用 的 知识 发 现 技术 ,其 目的 是 要 从 海量 数据 中 提取 出 感 
兴趣 的 数据 信息 (知识 )。 将 数据 挖掘 技术 应 用 于 入 侵 检 测 领 域 : 利 用 数据 挖掘 中 的 
关联 分 析 .序列 挖掘 等 算法 提取 与 安全 相关 的 系统 特征 属性 ,根据 系统 特征 属性 生成 
安全 事件 的 分 类 模型 或 进行 安全 事件 聚 类 分 析 ,从 而 实现 针对 安全 事件 的 自动 鉴别 。 
基于 数据 挖掘 的 和 人 侵 检 测 方法 包括 了 针对 安全 事件 审计 数据 的 数据 采集 、 数 据 准备 
和 预 处 理 .特征 变量 选取 .数据 挖掘 .挖掘 结果 处 理 以 及 结果 可 视 化 等 一 系列 的 过 程 ， 
其 中 数据 挖掘 是 整个 过 程 的 关键 。 

目前 对 挖掘 算法 的 研究 已 经 比较 成 熟 , 有 许多 算法 可 以 使 用 。 然 而 ,真正 要 从 海 
量 数据 中 提取 出 感 兴 趣 的 数据 信息 (知识 ) ,需要 强调 的 一 点 就 是 “特定 应 用 ”。 算 法 
实现 必须 建立 在 特定 应 用 的 基础 之 上 ,并 且 需 要 具有 足够 的 先 验 知识 。 实 验 表 明 ,对 
系统 安全 的 先 验 知识 往往 体现 在 对 原始 数据 中 有 价值 的 变量 集 的 选择 上 ,而 这 往往 
是 系统 实现 中 最 大 的 难点 。 

从 入 侵 检 测 的 角度 来 看 ,数据 挖掘 可 以 看 作 是 入 侵 检 测 的 手段 ,但 是 当 入 侵 检 测 
的 焦点 归结 为 安全 审计 数据 的 分 析 问 题 时 .数据 挖掘 就 成 为 一 种 目的 ,关注 的 焦点 集 
中 在 从 大 量 的 ` 包 含 元 余 信 息 的 数据 中 发 掘 出 隐藏 的 .先前 未 知 的 知识 。 此 时 ,就 不 
再 局 限于 传统 数据 挖掘 所 定义 的 关联 、 分 类 、 聚 类 等 算法 ,而 可 以 将 来 自 于 其 他 人 工 
智能 、 机 器 学 习 领 域 的 算法 统一 地 包括 进来 。 因 此 .下面 将 介绍 几 种 在 入 侵 检测 领域 
获得 应 用 的 方法 ,包括 数据 挖掘 .神经 网 络 ` 人 工 免 疫 等 。 


15.4.1 基于 数据 挖掘 的 入 侵 检 测 


美国 哥伦比亚 大 学 的 Wenke Lee 在 其 完成 的 博士 论文 中 中 ,提出 了 将 数据 挖掘 
技术 应 用 到 入 侵 检 测 中 ,详细 阐述 了 针对 基于 网 络 的 审计 数据 和 基于 主机 的 系统 调 
用 数据 ,利用 数据 挖掘 算法 进行 特征 提取 、 相 关 分 析 和 智能 化 的 数据 分 类 等 方法 ,以 
此 产生 用 于 入 侵 检 测 的 误 用 检测 规则 或 异常 检测 模型 。Wenke Lee 利用 数据 挖掘 中 
的 关联 算法 和 序列 挖掘 算法 提取 用 户 的 行为 模式 ,利用 分 类 算法 对 用 户 行为 和 特权 
程序 的 系统 调用 进行 分 类 预测 。 实 验 结果 表明 ,这 种 方法 在 入 侵 检测 领域 有 很 好 的 
应 用 前 景 。 

Wenke Lee 所 在 的 研究 组 在 1998 年 参加 了 由 美国 国防 部 高 级 研究 计划 署 
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(DARPA) 资 助 的 人 侵 检 测评 估 (intrusion detection evaluation) 计 划 。 在 这 次 评估 计 
划 中 ,由 MIT 的 Lincoln 实验 室 提供 了 在 模拟 军事 网 络 环境 中 记录 的 7 个 星期 的 网 
络 流量 和 主机 系统 调用 记录 日 志 , 这 些 数据 全 部 采用 tcpdump 和 Solaris BSM 审计 
数据 的 格式 提供 ,其 中 包括 了 大 约 500 万 次 会 话 , 其 中 包含 上 百 种 攻击 。 这 些 攻 击 可 
以 分 为 4 种 主要 类 型 。 

。 拒绝 服务 攻击 : 如 Ping of Death ,teardrop、 smurf、SYN Flood 等 。 

。 远程 攻击 (R2L): 如 基于 字典 的 口令 猜测 和 缓冲 区 溢出 攻击 。 

。 本 地 用 户 非法 提升 权限 的 攻击 (U2R)。 

。 网 络 扫 描 : 包括 端口 扫描 和 漏洞 扫描 。 

Wenke Lee 研究 组 分 别 从 网 络 和 主机 两 方面 进行 了 审计 数据 的 挖掘 处 理 。 


1. 针对 网 络 数据 

其 主要 做 法 是 使 用 网 络 服务 端口 (service) 作 为 网 络 连接 记录 的 类 型 标识 ,根据 大 
量 的 正常 连接 记录 生成 各 个 服务 类 型 的 分 类 模型 ,在 测试 过 程 中 根据 分 类 模型 对 当前 
的 连接 记录 进行 分 类 ,并 与 实际 服务 类 型 进行 比较 ,从 而 判断 出 该 分 类 模型 的 准确 性 。 


2. 针对 主机 数据 

使 用 了 一 种 快速 的 规则 学 习 算 法 RIPPER ,通过 对 正常 调用 序列 的 学 习 来 预测 
随后 发 生 的 系统 调用 序列 ,并 对 结果 进行 了 进一步 的 抽象 分 析 以 降低 算法 的 预测 

根据 DARPA 的 报告 , 申 哥伦比亚 大 学 实现 的 基于 数据 挖掘 的 入侵 检测 系统 在 
检测 拒绝 服务 攻击 和 扫描 方面 优 于 其 他 系统 ,在 检测 本 地 用 户 非 法 提升 权限 方面 与 
其 他 系统 大 概 持平 ,在 检测 远程 攻击 如 缓冲 区 溢出 方面 ,所 有 的 系统 表现 都 不 令 人 满 
意 , 检 全 率 都 在 70% 以 下 。 图 15. 10 显示 的 是 4 种 参加 测试 的 系统 对 拒绝 服务 攻击 
的 检测 结果 , 横 坐 标 是 误 报 率 , 纵 坐标 是 检 全 率 。 
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15.10 1998 年 入 侵 检 测评 估 结 果 


Wenke Lee 另 一 个 突出 的 贡献 是 提出 并 验证 了 将 信息 论 中 “ 炉 ”(entropy) 的 概 
念 引入 安全 领域 ,以 解决 入 侵 检 测 系 统 中 特性 属性 的 选择 问题 ,用 于 构建 检测 模型 ， 
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这 项 工作 将 在 本 节 的 后 续 部 分 进行 介绍 。Wenke Lee 还 对 基于 数据 挖掘 的 入 侵 检 测 
系统 在 配置 到 实时 环境 中 时 出 现 的 问题 进行 了 深入 的 研究 ,包括 检测 的 准确 性 、 检 测 
效率 和 系统 的 实用 性 中。 

哥伦比亚 大 学 数据 挖掘 实验 室 的 Leonid Portnoy 则 使 用 了 数据 挖掘 中 的 聚 类 
算法 ,通过 计算 和 比较 记录 间 的 矢量 距离 .对 网 络 连接 记录 ,用户 登录 记录 进行 自动 
聚 类 ,从 而 完成 对 审计 记录 是 否 正 常 的 判断 工作 5 。Leonid Portnoy 使 用 的 数据 是 
KDDCUP99 。 


15.4.2 基于 神经 网 络 的 入 侵 检 测 


作为 人 工 智 能 的 一 个 重要 分 支 , 神 经 网 络 Cneural network) 在 入 侵 检 测 领 域 得 到 
了 很 好 的 应 用 , 它 使 用 自 适 应 学 习 技 术 来 提取 异常 行为 的 特征 ,需要 对 训练 数据 集 进 
行 学 习 以 得 出 正常 的 行为 模式 。 这 种 方法 要 求 保 证 用 于 学 习 正 常 模式 的 训练 数据 的 
纯洁 性 , 即 不 包含 任何 入 侵 或 异常 的 用 户 行 为 。 

神经 网 络 由 大 量 的 处 理 元 件 组 成 ,这 些 处 理 元 件 称 之 为 “单元 "(units) ,单元 之 
间 通 过 带 有 权 值 的 “连接 ”(connections) 进 行 交互 。 网 络 所 包含 的 知识 体现 在 网 络 的 
结构 (单元 之 间 的 连接 、 连 接 的 权 值 ) 中 ,学 习 过 程 也 就 表现 为 权 值 的 改变 和 连接 的 添 
加 或 删除 。 

神经 网 络 的 处 理 包含 两 个 阶段 。 第 一 阶段 的 目的 是 构造 入 侵 分 析 模 型 的 检测 
器 ,使 用 代表 用 户 行 为 的 历史 数据 进行 训练 ,完成 网 络 的 构建 和 组 装 ; 第 二 阶段 则 是 
入 侵 分 析 模 型 的 实际 运作 阶段 ,网 络 接收 输入 的 事件 数据 ,与 参考 的 历史 行为 相 比 
较 , 判 断 出 两 者 的 相似 度 或 偏离 度 。 在 神经 网 络 中 ,使 用 以 下 方法 来 标识 异常 的 事 
件 : 改变 单元 的 状态 改变 连接 的 权 值 .添加 连接 或 删除 连接 ,同时 也 提供 对 所 定义 
的 正常 模式 进行 逐步 修正 的 功能 。 

神经 网 络 方法 对 异常 检测 来 说 ,具有 很 多 优势 : 由 于 不 使 用 固定 的 系统 属性 集 
来 定义 用 户 行为 ,因此 属性 的 选择 是 无 关 的 ;神经 网 络 对 所 选择 的 系统 度量 Cmetrics) 也 
不 要 求 满 足 某 种 统计 分 布 条 件 , 因 此 与 传统 的 统计 分 析 相 比 ,具备 了 非 参 量化 统计 分 
析 的 优点 。 

另 一 方面 ,将 神经 网 络 应 用 在 入 侵 检 测 中 ,也 存在 一 些 问题 。 例 如 ,在 很 多 情况 
下 ,系统 趋向 于 形成 某 种 不 稳定 的 网 络 结构 ,不 能 从 训练 数据 中 学 习 到 特定 的 知识 ， 
这 种 情况 目前 尚 不 能 完全 确定 产生 的 原因 。 其 次 ,神经 网 络 对 判断 为 异常 的 事件 不 
会 提供 任何 解释 或 说 明 信 息 ,这 导致 了 用 户 无 法 确认 入 侵 的 责任 人 .也 无 法 判定 究竟 
是 系统 哪 方面 存在 的 问题 导致 了 攻击 者 得 以 成 功 入 侵 。 另 外 ,将 神经 网 络 应 用 于 入 
侵 检 测 ,其 检测 的 效率 问题 也 是 需要 解决 的 。 

Tulane 大 学 的 David Endler 针对 Solaris 系统 的 BSM 模块 所 产生 的 系统 调用 
审计 数据 使 用 神经 网 络 进行 机 器 学 习 。Anup K. Ghosh 也 采用 针对 特定 程序 的 异 
常 检 测 ,建立 软件 程序 的 进程 级 行为 模式 ,通过 区 分 正常 软件 行为 和 恶意 软件 行为 来 
发 现 异常 。 使 用 预先 分 类 的 输入 资料 对 神经 网 络 进行 训练 .学 习 出 正常 和 非 正 常 的 
程序 行为 "]。 
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15.4.3 基于 人 工 免 疫 的 入 侵 检 测 


美国 新 墨西哥 大 学 的 Stephanie Forrest 提出 了 将 生物 免疫 机 制 引入 计算 机 系 
统 的 安全 保护 框架 中 。 免 疫 系统 最 基本 也 是 最 重要 的 能 力 是 识别 “自我 / 非 自我 ” 
(self/nonself) , 它 能 够 识别 哪些 组 织 是 属于 正常 机 体 的 ,不 属于 正常 的 就 认为 是 异 
常 , 这 个 概念 和 入 侵 检 测 中 异常 检测 的 概念 非常 相似 。 

免疫 系统 能 够 保护 生命 机 体 不 受 病原 体 的 侵害 ,这 种 作用 与 安全 系统 在 计算 机 
系统 中 的 作用 类 似 。 研 究 人 员 注 意 到 : 免疫 系统 对 病原 体 的 检测 是 相当 精确 的 ,这 
与 计算 机 安全 系统 的 不 可 靠 形成 了 鲜明 的 对 比 。 免 疫 系 统 具 有 以 下 一 些 重要 的 
特征 。 

1. 分 层 保护 

大 自然 赋予 生命 多 层 保护 机 制 , 如 皮肤 .生理 环境 (pH 和 体温 )、 受 激 反 应 等 ,而 
计算 机 安全 系统 往往 是 单 层 次 的 。 


2. 分 布 式 检测 
免疫 系统 的 检测 是 高 度 分 布 的 ,没有 一 个 统一 的 中 心 控制 ,这 种 分 布 机 制 保障 了 
系统 的 高 度 可 靠 性 。 


3. 各 组 成 部 分 的 相互 独立 性 

这 种 机 制 的 优点 是 即使 某 一 个 方面 的 保护 失效 ,也 不 会 影响 系统 的 其 他 部 分 。 

4. 能 够 检测 未 知 

免疫 系统 不 但 能 够 记忆 曾经 感染 过 的 病毒 的 特征 ,还 能 够 有 效 地 检测 未 知 的 病 
毒 ,这 种 能 力 是 绝 大 多 数 计算 机 安全 系统 所 缺乏 的 。 

从 免疫 学 的 观点 来 看 ,免疫 系统 最 基本 也 是 最 重要 的 能 力 不 是 识别 异常 ,而 是 能 够 
识别 自我 。 其 关键 点 是 : 使 用 一 组 稳定 的 特征 来 定义 自我 。 很 显然 ,对 于 计算 机 安全 
系统 而 言 , 要 解决 这 个 问题 相当 困难 ,第 一 ,恶意 代码 隐藏 在 正常 代码 之 中 难以 区 分 ,第 
二 ,系统 可 能 的 状态 几乎 是 无 限 的 ,寻找 一 组 稳定 的 特征 来 定义 自我 并 不 容易 。 

新 墨西哥 大 学 的 研究 小 组 通过 大 量 的 实验 发 现 : 对 一 个 特定 的 程序 来 说 ,其 系 
统 调 用 序列 是 相当 稳定 的 。 使 用 系统 调用 序列 来 识别 “自我 ,应 该 可 以 满足 系统 的 
要 求 。 在 这 个 假设 的 前 提 下 ,该 研究 小 组 提出 了 基于 系统 调用 的 短 序列 匹配 算法 ,并 
作 了 大 量 开 创 性 的 工作 中 。 


15.4.4 应 用 于 入 侵 检 测 的 数据 源 分 析 


前 面 曾经 强调 过 ,真正 要 从 海量 数据 中 提取 出 感 兴趣 的 数据 信息 (知识 ) ,需要 强 
调 的 一 点 就 是 “特定 应 用 ”。 算 法 实现 必须 建立 在 特定 应 用 的 基础 之 上 ,并 且 需 要 具 
有 足够 的 先 验 知识 。 男 一 方面 ,如何 选择 数据 源 进行 挖掘 ,保证 数据 源 能 够 提供 特定 
应 用 所 需 的 各 项 特征 ,并 充分 发 挥 算法 的 效果 ,从 而 能 够 得 到 用 于 对 数据 记录 进行 准 
确 分 类 .关联 和 聚 类 等 操作 的 模型 .同样 是 将 数据 挖掘 应 用 于 入 侵 检测 时 所 面临 的 基 
础 性 问题 。 本 小 节 将 说 明 可 应 用 于 数据 挖掘 的 各 类 入 侵 检 测 数据 源 , 并 介绍 一 种 可 
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用 于 判断 数据 源 质 量 的 方法 。 

1. 网 络 数据 源 

就 网 络 数据 而 言 ,可 以 分 为 多 个 分 析 层 次 。 例 如 ,land? 攻击 和 teardrop@ 攻击 
通过 对 IP 报头 的 分 析 就 可 以 准确 检测 ,而 端口 扫描 就 必须 通过 维护 一 个 基于 时 间 窗 
口 的 状态 栈 , 通 过 对 多 数据 包 的 报头 进行 分 析 才 能 检测 。 对 于 其 他 一 些 涉 及 高 层 协 
议 的 攻击 方法 ,比如 mail bomb、cgi 漏洞 攻击 , 则 必须 进行 相应 的 高 层 协议 解析 才能 
检测 。 正 因为 如 此 ,一 个 好 的 网 络 入 侵 检测 系统 总 是 尽 可 能 多 地 解析 高 层 协议 ,或 者 
根据 已 知 攻击 模式 的 特征 进行 尽 可 能 的 准确 匹配 ,或 者 通过 建立 正常 的 协议 行为 模 
式 以 检测 异常 。 

网 络 数据 源 通常 具有 适用 于 检测 基于 网 络 的 攻击 行为 .应 用 范围 广 、 扩 展 性 好 等 
优点 ,但 同时 由 于 其 本 身 的 缺陷 ,也 存在 着 诸如 资源 消耗 大 、 检 测 复 杂 攻 击 的 准确 率 
低 .无 法 处 理 加 密 数据 等 缺陷 。 

2. 主机 数据 源 

安全 审计 数据 首先 来 自 于 主机 日 志 . 在 UNIX 环境 下 ,通常 指 由 后 台 进 程 syslogd 
产生 的 syslog 日 志 , 以 及 由 其 他 应 用 程序 如 Apache Web Server 或 Ftp 产生 的 日 志 ， 
如 access_log、xferlog、maillog 等 。 毫 无 疑问 .从 这 些 日 志 中 可 以 得 到 大 量 有 价值 的 
信息 。 事 实 上 ,经常 检 测 日 志 是 维护 系统 安全 不 可 缺少 的 一 个 环节 。 但 是 ,这 些 日 志 
基本 上 都 是 以 方便 人 阅读 的 格式 存放 的 ,如 何 将 数据 挖掘 算法 应 用 于 日 志 数据 还 存 
在 很 多 的 困难 。 

国外 的 研究 者 发 现 ,特权 进程 的 系统 调用 序列 能 够 较 好 地 满足 审计 数据 源 的 要 
求 。 在 UNIX 环境 下 ,所 谓 特权 进程 ,是 指 能 够 以 root 权限 执行 的 进程 ,如 Sendmail 
和 Syslogd。 特 权 进 程 通常 是 攻击 的 重点 目标 。 系 统 调 用 发 生 在 用 户 进 程 (比如 
emacs) 通 过 特殊 函数 (如 open) 请 求 内 核 提 供 服务 时 ,在 系统 调用 层次 上 ,可 以 利用 
数据 挖掘 方法 生成 分 别 用 于 误 用 检测 和 异常 检测 的 模型 。 

主机 数据 源 通常 具有 检测 的 针对 性 强 .准确 率 高 .与 操作 系统 结合 紧密 、 适 于 检 
测 复杂 攻击 模式 等 优点 ,但 由 于 依赖 于 本 机 的 操作 系统 .因此 也 存在 着 诸如 只 能 检测 
针对 本 机 的 攻击 、 不 适合 检测 基于 网 络 协议 的 攻击 等 局 限 性 。 

可 以 说 ,网 络 数据 源 和 主机 数据 源 各 有 优势 ,又 各 有 不 足 。 值 得 注意 的 是 ,两 者 
在 各 自 所 擅长 的 检测 领域 上 存在 互补 性 。 因 此 .最 佳 的 安全 审计 数据 处 理 方案 应 该 
是 综合 这 两 方面 的 审计 数据 源 。 下 面 介 绍 一 种 用 于 对 数据 源 质量 进行 分 析 的 方法 。 

3. 数据 源 质量 分 析 

Wenke Lee 提出 了 利用 信息 论 的 某 些 概念 : 炉 、 条 件 炉 .相对 人 和 信息 增益 ,可 
以 定量 地 描述 一 个 数据 集 的 特征 ,分析 数据 源 的 质量 ,从 而 为 模型 的 选择 提供 理论 依 
据 轨 。 以 下 给 出 一 些 用 于 数据 源 质量 分 析 的 定义 及 其 具体 的 应 用 。 


四 land: 攻击 者 通过 发 送 源 IP 地 址 和 目的 IP 地 址 相同 的 数据 包 来 造成 对 目标 主机 的 拒绝 服务 。 
回 teardrop: 攻击 者 通过 发 送 无 法 重组 的 错误 IP 分 片 造 成 目标 主机 的 拒绝 服务 。 
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给 定数 据 集合 X, 其 炉 H(X) 一 PProg pts. 一 般 地 说 , 粮 的 值 越 小 说 明 


zxECx 


数据 的 分 布 越 均 匀 。 例 如 ,如 果 所 有 的 数据 项 都 属于 同一 个 类 ,那么 灶 等 于 0; 炉 越 
大 说 明 数据 分 布 越 不 均匀 。 对 于 异常 检测 来 说 , 炉 可 以 作为 衡量 数据 规则 程度 的 一 
个 度量 。 在 安全 审计 数据 中 ,每 一 个 唯一 的 记录 代表 一 个 类 , 炉 越 小 表示 不 同 的 记录 
数目 越 少 ,数据 也 就 越 规 则 ,从 而 通过 已 知 预测 未 知 的 可 靠 性 越 大 ,通过 这 样 的 数据 
集合 建立 的 检测 模型 的 可 信和 度 就 越 高 。 
安全 审计 数据 通常 都 具有 时 间 上 的 序列 特征 ,条 件 炉 可 以 用 来 衡量 这 种 特征 。 
邻 铸 二 (el,ezs" ,Er); 令 Y= 二 (el1,es，…… ,ei1), 其 中 有 二 n; 条 件 炉 HCX | Y) = 
YY， PK(zvy)log 四 可 以 衡量 在 给 定 Y 以 后 , 剩 下 的 X 的 不 确定 性 还 有 多 


zryEC, :Cy 
少 。 条 件 炉 越 小 表示 不 确定 性 越 小 ,根据 这 样 的 数据 集合 建立 的 检测 模型 的 准确 性 
越 好 。 

在 异常 检测 中 ,可 以 使 用 数据 挖掘 方法 ,利用 一 组 训练 数据 来 构造 模型 ,再 将 这 个 
模型 运用 到 测试 数据 中 。 如 果 和 希望 模型 具有 和 较 好 的 效果 ,这 两 个 数据 集合 必须 具有 相 
似 的 规则 性 ,相对 和 relEntropy(p19) 二 pz)log 2 用 来 比较 两 个 数据 集合 的 规 


zECx 

则 性 ,这 个 值 越 小 说 明 两 个 数据 集合 越 相 似 , 当 p 二 gq, 相对 条 件 信 为 0, 说 明 这 两 个 数据 

合 完 全 一 致 。 同 样 ,对 异常 检测 来 讲 . 相 对 条 件 灶 relCondEntropy(p | 9g) 一 
区 plr,y)log ee 的 值 越 小 越 好 。 


zyECz :Cy 


属性 A 在 数据 集合 X 中 的 信息 增益 Gain(X,A) 二 HOO 一 H(z)log 上 加 1 


， 
vE Value( A) |XI 


其 中 Value(A) 是 A 的 所 有 可 能 值 的 集合 ,z, 是 当 属 性 A 具有 值 v 时 的 XX 的 一 个 子 集 。 

入 侵 检测 可 以 看 作 是 一 个 分 类 问题 ,也 就 是 将 一 个 事件 归 为 正常 或 者 异常 。 每 
个 事件 都 具有 许多 特征 属性 (features) ,对 于 某 个 特征 属性 来 说 .信息 增益 越 高 ,说 明 
这 项 特征 属性 对 数据 记录 的 影响 越 大 。 为 了 保证 分 类 模型 的 准确 性 ,在 构建 分 类 模 
型 时 应 该 尽量 使 用 信息 增益 高 的 特征 属性 。 


15.5， 注 记 


采用 数据 挖掘 等 方法 对 安全 审计 数据 进行 分 析 以 达到 入 侵 检 测 的 目的 ,是 目前 
的 研究 热点 ,已 经 有 很 多 相关 的 研究 成 果 。 在 这 方面 ,也 进行 了 一 些 技术 研究 和 尝 
试 。 采取 的 技术 路 线 是 : 使 用 数据 挖掘 中 的 数据 分 类 关联 分 析 和 序列 挖掘 ,对 基于 
网 络 和 基于 主机 的 安全 审计 数据 进行 智能 化 的 分 析 处 理 , 通 过 提取 数据 本 身 存在 的 
规律 性 ,帮助 系统 生成 人 侵 检 测 规 则 及 建立 异常 检测 模型 .最 大 限度 地 降低 在 处 理 安 
全 审计 数据 时 对 先 验 知识 的 要 求 。 基 于 网 络 的 审计 数据 主要 通过 tcpdump 
(tcpdump 是 一 种 基于 Berkeley Packet Filter(BPF) 的 网 络 数据 流 分 析 工 具 ) 获 取 ; 基 
于 主机 的 审计 数据 则 通过 Solaris 操作 系统 的 BSM 模块 获取 特权 进程 的 系统 调用 。 
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针对 不 同 的 安全 审计 数据 源 ,建立 包括 数据 获取 、 数 据 预 处 理 数据 挖掘 、 结 果 分 析 等 
各 个 模块 的 完整 的 处 理 单元 。 

根据 国内 外 研究 人 员 的 已 有 成 果 , 结 合 所 做 的 技术 尝试 ,我 们 认为 将 数据 挖掘 技术 
应 用 于 入 侵 检测 在 理论 上 是 可 行 的 ,在 技术 上 要 建立 这 样 一 套 系统 也 是 可 能 的 ,其 技术 
难点 主要 在 于 如 何 根据 具体 应 用 的 要 求 , 从 关于 安全 的 先 验 知 识 出 发 ,提取 出 可 以 有 效 
反映 系统 特性 的 特征 属性 (features) ,应 用 合适 的 算法 进行 数据 挖掘 。 技 术 难 点 还 存在 
于 结果 的 可 视 化 ,以 及 如 何 将 挖掘 结果 自动 地 应 用 到 实际 的 入 侵 检测 系统 中 。 

目前 国际 上 这 个 方向 的 研究 非常 活跃 ,而 且 这 些 研究 工作 多 数 得 到 了 美国 国防 
部 高 级 研究 计划 署 (DARPA)、 国 家 自然 科学 基金 (NSF) 等 官方 机 构 的 支持 。 但 是 我 
们 也 发 现 , 目 前 对 于 将 数据 挖掘 技术 运用 于 入 侵 检 测 方面 的 工作 ,总 体 而 言 还 停留 在 
理论 研究 的 阶段 ,对 于 实际 应 用 尚 需要 进一步 的 努力 。 

有 关 和 人 侵 检 测 和 数据 挖掘 的 技术 进展 ,读者 可 重点 关注 以 下 两 个 网 站 : 

。 http://www. raid-symposium. org/ ,该 网 站 主要 介绍 人 侵 检 测 技术 的 发 展 动态 ; 

。 http://www. sigkdd. org/ ,该 网 站 主要 介绍 数据 挖掘 技术 的 发 展 动 态 。 
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随 着 信息 技术 的 发 展 和 应 用 ,软件 在 信息 系统 中 的 核心 地 位 越 来 越 突 出 。 软 件 
系统 的 安全 性 不 仅 涉及 其 各 类 安全 功能 和 安全 机 制 的 设计 ,而 且 涉 及 软件 的 具体 实 
现 方式 。 目 前 无 论 是 纯粹 的 软件 系统 还 是 硬件 系统 中 的 软件 代码 ,都 出 现 了 各 种 各 
样 的 漏洞 和 安全 问题 ,严重 影响 了 软件 系统 中 安全 功能 和 安全 机 制 的 有 效 性 。 软 件 
安全 性 分 析 是 对 软件 实现 的 安全 性 进行 评估 的 一 项 重要 工作 ,也 是 软件 安全 测评 等 
工作 的 基础 。 本 章 将 介绍 以 下 几 种 软件 安全 性 分 析 方 法 与 技术 。 

(1) 程序 切片 。 主 要 根据 用 户 指定 的 切片 准则 提取 相关 的 代码 ,去 除 不 相关 的 
代码 ,可 减少 复杂 代码 的 干扰 ,降低 分 析 难 度 , 帮 助 分 析 人 员 更 清晰 地 分 析 其 关注 的 
问题 。 目 前 主要 有 过 程 内 切片 ,过程 间 切片 .动态 切片 、 条 件 切片 等 方式 ,根据 不 同 的 
业务 需求 采用 不 同 的 切片 方式 。 

(2) 模型 检验 。 主 要 利用 形式 化 方法 分 析 相 关系 统 是 否 具备 相应 的 属性 , 它 通 
过 形式 化 方式 对 目标 系统 进行 描述 ,利用 逻辑 表达 式 表示 分 析 人 员 所 关注 的 属性 , 然 
后 分 析 该 系统 是 否 满足 该 表达 式 。 目 前 该 方法 已 广泛 应 用 于 软 硬 件 系统 设计 、 协 议 
设计 等 领域 ,已 能 实现 对 10'” 状 态 规模 的 信息 系统 的 分 析 。 

(3) 动态 污点 传播 。 主 要 用 于 分 析 特 定数 据 在 程序 中 的 使 用 过 程 ,辅助 用 户 分 
析 该 数据 内 容 对 程序 行为 的 影响 。 该 方法 目前 广泛 应 用 于 软件 漏洞 分 析 、 恶 意 代码 
分 析 等 方面 ,已 有 一 批 实验 系统 发 布 。 

上 述 方法 目前 在 软件 安全 性 分 析 中 已 广泛 应 用 ,但 不 仅仅 用 于 软件 安全 性 分 析 。 
本 章 主 要 介绍 上 述 各 种 方法 的 一 些 基本 概念 、 基 本 原理 和 典型 应 用 。 


16.1 程序 切片 


程序 切片 (program slicing) 是 一 种 用 于 分 解 程序 的 程序 分 析 技 术 , 在 软件 安全 
性 分 析 、 软 件 行为 分 析 等 方面 具有 广泛 应 用 。 程 序 切片 是 1979 年 M. Weiser 博士 在 
其 博士 论文 中 首次 提出 的 ,后 来 在 其 发 表 的 论文 中 进行 了 进一步 完善 和 推广 5 。 

程序 切片 采用 通俗 的 说 法 .一般 有 两 种 描述 方法 呈 ， 

(1) 对 于 程序 中 指令 户 处 变量 z 的 切片 是 指 程序 中 所 有 可 能 影响 变量 z 在 指令 
p 处 的 取 值 的 语句 。 

(2) 对 于 程序 中 指令 p 处 变量 zx 的 切片 是 指 对 程序 进行 删 减 ,确保 所 有 在 指令 
PP 处 z 的 取 值 序列 不 变 的 情况 下 所 得 到 的 程序 。 也 就 是 说 ,所 删 减 后 得 到 的 程序 和 
原 程序 的 行为 ,对 于 指令 户 处 的 变量 z 而 言 是 一 致 的 。 

程序 切片 按照 切片 分 析 目 标的 不 同 可 以 分 为 过 程 内 切片 和 过 程 间 切 片 。 过 程 内 
切片 是 指 对 只 有 一 个 过 程 组 成 的 程序 进行 切片 ,其 分 析 目 标 是 单一 的 过 程 ,无 需 考 虑 
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其 他 过 程 间 的 调用 关系 。 相 反 , 过 程 间 切片 则 是 对 由 多 个 过 程 组 成 的 程序 进行 切片 ， 
其 分 析 过 程 更 复杂 。 和 过 程 内 切片 相 比 ,过 程 间 切片 更 贴近 实际 需求 。 下 面 将 重点 
从 过 程 内 切片 和 过 程 间 切片 两 方面 来 介绍 程序 切片 技术 ,然后 简要 介绍 一 下 其 他 切 
片 技术 的 发 展 情况 。 


16.1.1 过 程 内 切片 


在 讨论 过 程 内 切片 之 前 ,首先 引入 几 个 定义 ,并 简要 介绍 M. Weiser 最 早 提出 的 
基于 数据 流 方程 切片 方法 的 核心 思想 ,随后 将 重点 介绍 基于 依赖 图 的 切片 方法 。 

定义 16.1.1 状态 轨迹 是 程序 执行 的 轨迹 ,表示 每 条 语句 执行 之 前 对 所 有 变量 
值 的 快照 。 

状态 轨迹 是 用 于 描述 程序 状态 的 一 种 方法 ,通过 所 有 变量 的 值 来 描述 程序 的 不 
同 状 态 , 不 同 状态 的 序列 即 状态 轨迹 的 序列 就 构成 了 程序 的 执行 流程 。 

定义 16.1.2( 切 片 准则 ) 程序 PP 的 切片 准则 是 一 个 二 元 组 二 n,V 记 ,其 中 是 
程序 中 的 一 条 语句 ,V 是 P 中 变量 的 一 个 子 集 。 

切片 准则 C= 二 二 n,V 二 定义 了 一 个 投影 函数 Projc 。 

定义 16.1.3 令 T=(41,tz，… ,tn) 是 一 个 状态 轨迹 , Ym EN。s 是 从 变量 名 到 
值 的 函数 , 则 有 
SZ m7 
(mss|V) m=n 
其 中 ,slV 表示 s 被 限制 在 域 V 的 范围 内 ;名 是 一 个 空 的 字符 串 。 现 在 把 Proj 扩展 
到 整个 的 轨迹 :Proj-<,,v> (T) 一 Proj<n.v> (t1 )…Proj<。v> 《的 二 

定义 16.1.4( 切 片 ) 程序 尸 的 一 个 关于 切片 准则 C 王 过,V 二 的 切片 S 是 具有 
下 列 特性 的 任何 可 执行 程序 : 

(1) S 通过 从 尸 中 删除 零 条 或 多 条 语句 获得 ; 

(2) 无 论 何 时 ,只 要 程序 P 在 输入 I 和 状态 轨迹 工 处 停止 ,: 则 S 也 会 在 输入 工 
和 状态 轨迹 TT' 处 停止 ,并 且 Projc(CT) 王 Projc(CT) ,其 中 C 王 二 SUCCCz) ,7 二 ， 
SUCC(nw) 是 n 在 源 程序 P 中 的 最 近 后 继 , 它 不 在 切片 中 ;或 者 如 果 n 也 在 切片 中 ， 
SUCC(n) 就 是 nn 本 身 。 

由 上 述 定义 可 知 , 程 序 切 片 具有 下 面 两 个 性 质 : 

(1) 程序 切片 必须 通过 对 源 程序 进行 语句 删除 而 得 到 ,切片 所 具有 的 程序 语句 
不 能 超出 原 有 程序 范围 ; 

(2) 通过 对 程序 切片 准则 窗口 所 观察 到 的 切片 行为 必须 与 源 程序 的 相应 行为 
等 价 。 

M. Weiser 提出 了 一 种 基于 数据 流 方程 的 静态 切片 算法 ,这 种 方法 通过 迭代 计 
算 CFG 中 每 个 节点 相关 变量 的 集合 来 获得 程序 切片 。 给 定 切 片 准则 C 一 二 2,V 二 ， 
M. Weiser 方法 的 计算 步骤 如 下 : 

(1) 进行 第 一 次 循环 ,计算 直接 相关 变量 和 语句 。 

对 CFG 中 某 个 节点 ,其 直接 相关 变量 集合 RE(s) 定 义 为 : C 中 ?的 直接 相 


Proj' 一 v> (m35) 一 | 
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关 变 量 集合 为 V; 对 CFG 中 的 其 他 节点 s, 它 的 直接 相关 变量 的 集 定义 为 
RG) = () {vlvE REG) A vw ¢ Def(s))} 


U {v|vE Use(s) A Def(s) MN RLG) = G} 
@ 直接 相关 语句 集 可 根据 直接 相关 变量 来 获得 , 记 为 
Se = {s|3z,Pred(s,t) A (Def(s) MN RLG) = 区)) 
(2) 进行 迭代 ,计算 间接 相关 变量 和 间接 相关 语句 。 
@ 间接 相关 变量 集合 记 为 RE(s) ,其 计算 过 程 如 下 : 
RE (s) 一 RECs) U (UU) Re Cs) ) 


beBt 
其 中 BE 一 人 | 3s,sE St ,6 的 执行 决定 * 是 否 执行 } 是 控制 St 中 一 个 语句 的 所 有 控制 
节点 的 集合 。 

@ 把 控制 节点 加 到 St 中 ,进一步 计算 间接 相关 语句 : 

St = Bt U {s|3z,Pred(s,t) A (Def(s) NM RE(#) #¥ BG)} 

(3) 重复 第 二 步 直 到 S 不 再 增 大 为 止 。 

M. Weiser 的 程序 切片 算法 只 能 处 理 3 种 基本 的 结构 , 即 顺序 、 选 择 和 循环 ,对 
模块 化 程序 中 出 现 的 过 程 和 过 程 调用 无 能 为 力 ,其 详细 的 计算 过 程 可 参考 文献 [1] 和 
[2]。 在 此 基础 上 ,.S. Horwitz 等 人 提出 了 基于 依赖 图 的 过 程 内 切片 方法 。 下 面 重点 
介绍 该 方法 的 原理 和 具体 的 切片 算法 。 

定义 16.1.5( 过 程 内 切片 ) 尸 是 只 包含 一 个 过 程 的 程序 ,切片 准则 是 二 z,V 二 ， 
则 程序 已 关于 此 准则 的 程序 切片 是 由 程序 已 中 那些 影响 V 中 变量 在 兴趣 点 的 值 
的 所 有 语句 和 控制 谓词 组 成 的 集合 ,这 种 切片 称 为 过 程 内 切片 ,又 称 为 静态 后 向 切片 
(Cstatic backward slice) 。 

定义 16.1.6 如 果 程 序 已 关于 切片 准则 过 2z,V 二 的 切片 是 由 程序 已 中 所 有 受 
到 兴趣 点 的 变量 集 V 中 变量 值 影响 的 语句 和 控制 谓词 构成 的 集合 组 成 , 则 该 切片 
被 称 为 静态 前 向 切片 (static forward slice) 。 

程序 依赖 图 (program dependence graph) 是 一 种 用 于 描述 控制 依赖 、 数 据 依 赖 等 
依赖 关系 的 图 , 记 为 Gb。 。 其 中 的 节点 集合 是 程序 中 的 每 一 条 指令 和 一 些 附加 的 特殊 
节点 组 成 。 特 殊 的 节点 主要 包括 : 

(1) 程序 的 入 口 节点 , 记 为 Entry。 

(2) 对 于 每 一 个 变量 ,在 未 初始 化 就 使 用 时 . 需 增 加 一 个 初始 化 节点 , 记 为 “x: 二 
InitialState(x)”。 

(3) 在 程序 结束 时 语句 中 的 变量 ,都 需 增加 一 个 最 后 使 用 节点 , 记 为 "FinalUse(Cz)”， 
表示 访问 该 变量 的 最 后 计算 结果 。 

边 的 集合 则 由 控制 依赖 边 和 数据 依赖 边 组 成 。 控 制 依赖 边 的 起 点 要 么 是 程序 的 
入 口 节点 ,要 么 就 是 判断 条 件 语 句 。 每 个 控制 依赖 边 会 标示 为 *T” 或 者 *F”, 以 表示 
判断 条 件 的 “ 真 "“ 假 >。 如 果 wm 和 vs 之 间 存 在 控制 依赖 关系 , 记 为 vi 习 .vs ,表示 当 
程序 执行 时 ,如 果 程 序 会 最 后 终止 ,并 且 判 断 条 件 语句 v 的 评估 结果 和 依赖 关系 边 
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上 的 标示 一 致 , 则 节点 v。 中 的 语句 一 定 会 执行 。 

当 且 仅 当 满足 以 下 条 件 时 ,程序 依赖 图 Ge 中 节点 v 和 vs 之 间 存 在 一 条 控制 依 
赖 边 : 

(1) mu 是 入 口 节点 ,vs 是 程序 中 的 一 条 指令 , 且 不 控制 依赖 于 任何 一 条 循环 或 
其 他 条 件 判 断 语句 。 则 存在 一 -us :该 边 标 示 为 “T”。 

(2) wv 是 一 个 控制 条 件 语句 , 当 mm 是 循环 的 控制 条 件 语句 时 ,如 果 vs 的 指令 在 
该 循环 体内 , 则 存在 wv, 一 .vs ,并 且 标 示 为 “T”; 如果 vw 是 普通 条 件 判断 语句 ,us 是 根 
据 该 条 件 判 定 结果 确定 是 否 执 行 的 语句 , 则 存在 wi 一 .vs ,并 且 根 据 判 断 条 件 的 真 假 ， 
相应 的 标示 为 *T” 或 “F”。 

节点 wv 和 ws 之 间 存 在 一 条 数据 依赖 边 ,意味 着 当 程序 中 节点 v 和 ws 对 应 的 指 
令 顺 序 发 生 改 变 时 ,程序 的 运算 结果 将 发 生 改 变 。 数 据 依赖 边 主 要 分 为 数据 流 依赖 
(flow dependence) 和 定义 顺序 依赖 (def-order dependence)。 

当 且 仅 当 以 下 条 件 满 足 时 ,节点 v 和 vs 之 间 存 在 数据 流 依赖 关系 : 

(1) 节点 mw 定义 了 变量 z; 

(2) 节点 vo 使 用 了 变量 z; 

(3) 存在 一 条 执行 路 径 可 从 节点 mm 到 达 节 点 vs, 并 且 , 在 该 路 径 中 ,节点 vs 使 
用 变量 z 之 前 ,不 存在 其 他 指令 对 z 进行 重新 定义 。 所 有 变量 的 最 初 初始 化 均 紧 接 
程序 人 口 节点 之 后 ,变量 的 最 后 使 用 在 紧邻 程序 结束 之 前 。 

节点 ww 和 v 之 间 的 数据 流 依赖 关系 记 为 mm 一 ruz 。 

数据 流 依赖 又 可 分 为 循环 数据 流 依赖 (loop carried flow dependence) 和 非 循 环 数 
据 流 依赖 (loop independent flow dependence) 。 若 节点 v 和 ws 满足 以 上 3 个 条 件 的 
同时 ,满足 以 下 条 件 : 

(4) 满足 (3) 的 执行 路 径 包 含 一 条 边 回 到 循环 工 的 条 件 判 断 语句 ; 

(5) 节点 vw 和 vs 均 包 含 在 循环 体内 。 

则 称 节 点 wm 和 vs 之 间 存 在 循环 数据 流 依赖 , 记 为 vi 一 i vo。 

非 循 环 数据 流 依赖 则 是 在 满足 条 件 (1)、(2) 和 (3) 的 同时 ,存在 一 条 路 径 满足 (3) 
但 不 存在 边 回 到 包含 节点 ww 和 vs 循环 工 的 条 件 判 断 语句 , 记 为 viv。。 两 个 节点 
vi 和 vs, 可 能 会 同时 存在 wi vs 和 mm 一 iva。 

节点 w 定义 顺序 依赖 于 节点 wm 当 且 仅 当 以 下 条 件 满足 : 

(1) 节点 和 vs 都 定义 了 同一 个 变量 x; 

(2) 节点 vi 和 ws 对 于 任意 同时 包含 两 个 节点 的 判断 条 件 语 句 , 它 们 都 在 同一 个 
分 支 ; 

(3) 存在 一 个 节点 ww ,使 得 vi 一 :vs 和 vs 一 1vs; 

(4) 在 程序 的 抽象 语法 树 (abstract syntax tree) 中 ,节点 vw 在 vs 的 左边 。 
这 样 , 节 点 vs 表明 从 节点 vi 到 v 存在 定义 顺序 依赖 , 记 为 vi aocw v2。 

对 于 程序 依赖 图 G 中 节点 s 的 切片 ( 记 为 G/s) ,是 G 的 一 个 子 图 ,该 子 图 的 节点 
集合 包含 了 所 有 * 控制 依赖 或 数据 依赖 的 节点 ;该 子 图 的 边 是 所 有 和 s 相关 的 控制 
依赖 和 数据 流 依赖 边 ,以 及 部 分 定义 顺序 依赖 边 。 其 中 ,对 于 定义 顺序 依赖 边 
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vgoow Ww， 当 且 仅 当 节 点 w 是 该 子 图 节点 , 则 该 定义 顺序 边 属于 该 子 图 。 
对 于 子 图 点 的 集合 可 定义 如 下 : 
V(G/s) = {w | w EV(G)w is} 


对 于 单一 节点 s 的 定义 ,还 可 将 其 扩展 到 节点 集合 S 王 品 ,的 定义 ,其 定义 
如 下 : 
V(G/S) = V(G/( 出 si) ) 一 U VG/si) 


对 于 子 图 边 的 定义 如 下 : 
E(G/S) ={(v 一 tr) | (一 tm) E E(G) vw,w E€E V(G/S))} 
U {Cv—.w) | (vw) €E E(G) wv,w EE V(G/S))} 
U {Cv >aww) | (vaoww) E E(G) v,w,u E VG/S)} 
从 以 上 的 定义 可 以 看 出 ,在 过 程 内 切片 中 ,最 重要 的 就 是 计算 该 子 图 的 节点 集 
合 。 下 面 是 节点 集合 计算 的 算法 : 


Procedure Mark VerticesOofSlice (G,S) 
declare 
G: 程序 依赖 图 
S: G 中 的 一 个 节点 集合 ,切片 的 准则 
WorkList: 一 个 节点 集合 
Vw: G 中 的 节点 
begin 
WorkList:=S 
While WorkList 不 为 空 do 
从 WorkList 中 选择 一 个 节点 Vv 从 WorkList 中 删除 ; 
标记 vi; 
for 对 于 没有 标记 的 节点 w, 并 且 E(G) 中 存在 w 一 :Vv 或 者 w 一 -vdo 
将 w 添 加 到 WorkList 集合 
od 
od 


end 


通过 该 算法 ,标示 的 节点 即 为 根据 节点 集合 S 切片 所 得 子 图 的 节点 集合 。 下 面 是 
一 个 具体 实例 ,左边 为 源 程序 ,右边 为 切片 的 结果 ,根据 的 切片 准则 是 二 FinalUse(i) ,一 。 
例 16.1.1 实例 如 图 16.1 所 示 。 


Program Main 
sum:=0; 
i:=1 
while z< 11 do 
Sum: 一 SUmt+ I; 
:=1+1; 
oq 


end (sum, 工 ) 
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{a) 实例 的 程序 依赖 图 
lb 大 TI 过: 


(全 到 CE 


tb) 实例 切片 
16.1 过 程 内 切片 实例 


切片 结果 : 


Program Main 
i:= 1 
while i<11 do 
i:=i+1; 
od 


end (i) 


16.1.2 过 程 间 切片 


随 着 软件 规模 的 扩大 ,单一 过 程 已 不 能 满足 软件 功能 实现 的 需要 ,这 样 ,多 个 过 
程 的 程序 切片 的 问题 也 越 来 越 重 要 。 早 在 1981 年 M. Weiser 就 给 出 了 一 个 过 程 间 
切片 的 算法 ,他 的 基本 思想 是 将 原 有 的 切片 准则 进行 扩展 ,对 被 调 过 程 (called 
procedure) 和 施 调 过 程 (call procedure) 添 加 新 的 切片 准则 ,程序 切片 最 终 变 成 一 组 
切片 准则 的 切片 。 该 算法 由 于 调用 上 下 文 问 题 而 不 够 精确 ,包含 了 较 多 不 必要 的 语 
句 。 当 计算 从 P 调用 的 子 程序 Q 的 切片 时 ,也 将 对 所 有 调用 Q 的 过 程 进行 切片 。 就 
如 同 程 序 流 从 PP 执行 到 Q 时 ,又 从 Q 执 行 到 P”。 
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1990 年 ,3 位 美国 学 者 S. Horwitz、T. Reps 和 D. Binkley 在 总 结 前 人 经 验 的 基 
础 上 ,利用 依赖 图 解决 了 含有 多 个 过 程 程序 的 过 程 间 切片 问题 3 。 

S. Horwitz 等 人 引入 系统 依赖 图 (SDG) 的 概念 来 表示 具有 多 个 过 程 的 程序 的 依 
赖 图 。 一 个 SDG 图 是 由 一 组 过 程 间 控制 依赖 边 和 流 依 赖 边 连接 起 来 的 过 程 依赖 图 
(PrDG) 组 成 ,PrDG 类 似 于 PDG ,但 它 还 包括 表示 由 于 调用 而 形成 的 调用 语句 、 参 数 
传递 .可 传递 流 依 赖 的 节点 和 边 。 过 程 间 切片 和 过 程 内 切片 相 比 较 , 所 需要 解决 的 主 
要 两 方面 的 问题 : 一 个 是 参数 传递 过 程 表示 : 另 一 个 是 调用 上 下 文 的 表示 。 

在 系统 依赖 图 中 , 当 过 程 P 调用 过 程 Q 时 ,参数 和 返回 值 均 借助 于 中 间 变 量 传 
递 。 在 调用 时 ,P 首先 将 参数 复制 到 中 间 变 量 , 然 后 Q 利用 这 些 数值 初始 化 其 内 部 
变量 ;在 返回 之 前 ,Q 首先 将 返回 值 复制 到 中 间 变 量 , 然 后 再 传递 给 P。 

基于 这 样 一 个 基本 过 程 ,引入 了 参数 节点 ,以 准确 描述 参数 传递 过 程 。 对 于 调用 
过 程 已 ,在 调用 Q 的 位 置 ,需要 增加 两 类 节点 actual-in 和 actual-out。actual-in 节点 
用 于 描述 传递 给 Q 的 参数 ,actual-out 用 于 描述 Q 返回 的 返回 值 。 在 被 调用 过 程 
Q 也 要 增加 两 类 节点 formal-in 和 formal-out,formal-in 用 于 描述 传递 进来 的 参数 ， 
formal-out 用 于 描述 Q 返回 的 返回 值 。 

另外 ,还 需要 增加 以 下 边 : 中 首先 增加 一 条 从 过 程 P 中 的 调用 过 程 Q 的 节点 到 
过 程 Q 的 入 口 节 点 的 边 ,以 描述 调用 关系 , 称 之 为 调用 边 ; 四 对 于 参数 传递 过 程 , 需 
要 增加 对 应 的 从 过 程 已 中 的 actual-in 节点 到 过 程 Q 中 的 formal-in 节点 的 边 , 称 之 
为 参数 传递 边 ; 四 对 于 参数 返回 过 程 , 需 要 增加 对 应 的 从 过 程 Q 中 formal-out 节点 
到 已 中 actual-out 节点 的 边 , 称 之 为 返回 值 边 。 其 中 调用 边 是 控制 依赖 边 ,参数 传递 
边 与 返回 值 边 属于 数据 依赖 边 。 

在 实际 分 析 过 程 中 ,在 过 程 P 调用 过 程 Q 时 ,actual-in 节点 以 如 下 方式 表示 : 

r_in: 二 e, 其 中 rv 是 过 程 Q 的 参数 名 称 ,e 是 过 程 已 传人 的 参数 。 

actual-out 节点 以 如 下 方式 表示 : 

a: 王 r_out, 其 中 x 是 过 程 Q 中 返回 参数 的 名 称 ,a 是 过 程 已 中 保存 该 返回 值 的 
变量 。 

formal-in 节点 以 如 下 方式 表示 : 

r~: 一 ” in, 其 中 是 过 程 Q 的 输入 参数 名 称 。 

formal-out 节点 以 如 下 方式 表示 : 

r_out: 王 7, 其 中 r 是 过 程 Q 的 返回 参数 名 称 。 

可 传递 的 依赖 边 ,又 称 summary 边 , 加 到 actual_in 节点 和 actual_out 节点 之 间 
来 表示 由 于 调用 过 程 而 形成 的 可 传递 流 依赖 。 如 果 在 被 调用 过 程 中 相应 的 
formal_in 节 点 和 formal_out 节点 之 间 存 在 一 条 控制 路 径 、 流 边 或 summary 边 , 则 在 
actual_in 和 actual_out 之 间 加 一 条 summary 边 。 

使 用 3 种 类 型 边 把 过 程 依赖 图 (PrDG) 连 接 起 来 形成 SDG 。 

(1) 调用 边 (call edge) : 在 每 个 调用 位 置 节点 和 相应 的 过 程 入口 节 点 之 间架 上 
调用 边 。 

(2) 参数 输入 边 (parameter_in): 在 调用 位 置 的 每 个 actual _in 节点 到 被 调用 过 


| 
第 16 章 软件 安全 性 分 析 方法 与 技术 | 


程 相 应 的 formal_in 节点 之 间 增 加 参数 输入 边 。 

(3) 参数 输出 边 (parameter_out): 从 被 调用 过 程 的 formal_out 节点 加 一 条 边 到 
相应 的 调用 位 置 的 actual_out 节点 。 

为 解决 调用 上 下 文 的 问题 还 需要 在 该 系统 依赖 图 中 引入 表示 由 过 程 调 用 引起 的 
可 达 数 据 依赖 边 ,实际 上 也 就 是 要 找 出 过 程 的 actual_out 参数 和 actual_in 参数 间 的 
相互 依赖 关系 。 这 里 先 引 入 一 个 实例 ,其 中 Main 是 主 程序 ,涉及 的 过 程 包括 
A(z,y)、Add(a.b)、Increment(xz)。 图 16. 2 所 示 是 经 过 调用 关系 处 理 后 的 依赖 图 。 


Sum=x_out 


EnterA 号 生 


(Ce 2 RR (Call Add Call SE out 人 ai 


= 


人 Add > Out 


图 16.2 经 过 参数 关系 处 理 和 调用 关系 处 理 后 的 依赖 图 


例 16.1.2: 


Program Main 
Sum:=07 
i:=1; 
while i<11 do 
call Add (sum, i); 
oq 


end (sum, 工 ) 
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Procedure Rdd (x, y) 
Call Adq (x, y); 
Call Increment (y); 

Return 

Procedure Add (a,b) 
A:=atb; 

Return 

Procedure Increment (2) 

Call Add(z,1) 
return 


以 上 是 对 参数 传递 与 返回 值 描述 的 方法 ,另外 一 个 问题 是 对 调用 上 下 文 关 系 的 
进一步 准确 描述 。 连 接 文法 主要 用 于 建立 过 程 调用 的 结构 模型 ,是 一 种 通过 对 上 下 
文 无 关 文 法 进行 扩充 而 来 。 它 在 上 下 文 无 关 文 法 的 基础 上 ,对 终结 符 和 非 终 结 符 增 
加 了 一 些 属性 ,并 通过 属性 等 式 的 方式 对 这 些 属性 进行 定义 。 对 于 每 一 个 产生 式 如 
下 列 形式 : 

p:Xo 一 XI XXX 
其 中 X; 表示 文法 符号 。 

每 个 文法 符号 的 出 现 表 示 相 对 应 的 属性 存在 ,每 个 产生 式 有 一 系列 的 属性 等 式 
利用 属性 函数 的 方式 描述 和 定义 属性 。 一 个 符号 X 的 属性 被 分 为 综合 属性 和 集成 
属性 两 个 集合 。 每 一 个 产生 式 p 的 属性 依赖 关系 可 以 通过 依赖 图 来 描述 , 记 为 
D(p) .该 依赖 图 表示 如 下 : 

(1) 对 于 每 一 个 属性 5, 该 图 有 一 个 节点 5 ; 

(2) 如 果 属 性 2 在 属性 等 式 的 右边 定义 了 属性 < , 则 该 图 存在 一 条 边 和 一 c 。 

对 于 一 个 程序 ,按照 以 下 方式 建立 一 套 文法 : 

(1) 对 于 程序 中 的 每 一 个 过 程 已 ,设置 一 个 非 终结 符 P; 

(2) 对 于 每 一 个 过 程 已 ,建立 一 个 产生 式 p: P 一 B, 如 果 过 程 已 未 调用 任何 过 
程 , 则 8 二 e, 即 过 程 P 的 产生 式 为 p: P-~~s:, 和 否则 8 是 已 调用 过 程 所 对 应 的 非 终 结 符 
的 序列 ,比如 过 程 已 调用 了 过 程 Q 和 NN , 则 其 对 应 产生 式 为 p: P-~QN; 

(3) 对 于 非 终 结 符 P, 如 果 节 点 尸 存在 一 个 actual-in 节点 , 则 其 存在 一 个 对 应 的 
继承 属性 :如果 节点 P 存在 一 个 actual-out 节点 , 则 其 存在 一 个 对 应 的 综合 属性 。 非 
终结 符 P 的 属性 a 标示 为 P.a。 

根据 例 16.1.2 可 以 得 到 以 下 产生 式 : 

Main 一 A A 一 Add Increment Add 一 s Increment -一 Add 
其 中 Main 过 程 调用 了 过 程 A; 过 程 A 调用 了 过 程 Add 和 Increment; 过 程 Add 没有 
调用 任何 其 他 过 程 :过程 Increment 调用 了 过 程 Add。 

连接 文法 中 引入 属性 主要 是 为 了 描述 过 程 内 部 参数 节点 和 返回 值 节 点 之 间 的 依 
赖 关系 。 这 些 依赖 关系 的 分 析 主 要 借助 于 前 面 介绍 的 过 程 内 的 切片 方法 。 为 了 描述 
这 些 属性 之 间 的 依赖 关系 ,连接 文法 中 引入 了 属性 等 式 。 属 性 等 式 的 描述 如 下 : 

对 于 表达 式 p 中 的 属性 P.a. 假 设 v 是 过 程 依赖 图 Ge 中 P.a 所 对 应 的 节点 ,可 
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以 得 到 关于 P.a 的 属性 等 式 P.a 二 了 (…,Q.5,…), 其 中 ,Q.5 是 Gp/v 中 pp 所 对 应 的 
参数 (或 返回 值 ) 节 点 。 
对 于 实例 中 产生 式 Main>A 所 对 应 的 属性 等 式 如 下 所 示 : 
A.x_in= fi(A.x_out,A.y_out) 
A.y_in= f(A.y_out) 
A.x_out = f(A.y_out) 
A.y_out = f(A.y_out) 
图 16. 3 是 例 16. 1.2 的 属性 依赖 图 。 


aa Cr) 
ee 


CD 


(a) 


ED ED 
, 了 L 
C x_in 了 C y_in BD 人 A DC x_out ) C y_out ) 


(b) 
16.3 属性 依赖 图 


为 了 描述 属性 间 的 传递 依赖 关系 ,引入 了 特征 子 图 的 概念 。 在 定义 特征 子 图 之 
前 , 先 介绍 以 下 定义 。 

(1) 对 于 一 个 有 向 图 G 二 (V,E), 其 中 从 节点 a 到 节点 5 的 路 径 定 义 为 
[wv ,其 中 4a 一 v1,6 二 wi, 和 且 {Cvisvi1)1i 一 1,2,…,k 一 1}EE。 

(2) 对 于 一 个 有 向 图 G 二 (V,E) 和 一 个 节点 集合 VSV,G 在 VV 上 的 映射 
G//V' 二 (V',E'), 其 中 

二 {(v,w)|v,wEV ,有 上 且 G 中 存在 路 径 [v 二 wvw2 ysvi 王 wsvs v1V) 

假设 r 是 属性 树 T 中 的 一 个 节点 ,r 节点 的 属性 集合 定义 为 A(7) ,以 7 为 根 节点 
的 属性 子 树 , 记 为 T., 则 对 于 非 终 结 符 ~ 的 特征 子 图 定义 为 ~.C 一 DCT.)//ACr) 。 

非 终结 符 X 的 特征 子 图 是 TDSCX) ,初始 时 TDS(X) 为 空 。TDS(X) 中 的 边 实 
际 上 就 是 X 对 应 的 过 程 的 各 参数 间 的 数据 依赖 边 。 辅 助 图 TDP(P) 描 述 了 产生 式 
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中 非 终 结 符 的 出 现 情况 之 间 的 关系 ,也 就 是 产生 式 中 每 次 调用 的 过 程 的 参数 间 的 依 
赖 关系 。 它 可 以 是 不 同 过 程 的 参数 间 的 依赖 ,也 可 以 是 同一 过 程 的 不 同 次 出 现 的 参 
数 间 的 依赖 关系 。 对 形 如 Add-~~s 的 产生 式 , 其 TDP 与 TDS 相同 ,都 是 Add 的 参数 
间 的 依赖 ,对 形 如 A 一 Add|Increment 的 产生 式 ,TDP 是 A、Add、Increment 参数 间 
的 依赖 关系 ,而 TDS 则 仅 是 A 的 参数 间 的 依赖 。 算法 中 的 一 个 基本 操作 是 
AddEdgeAndInduce(TDP(p). (a.5)) ,其 中 p 是 个 产生 式 ,(a,5) 是 一 对 存在 依赖 关 
系 的 属性 出 现 。 该 操作 执行 以 下 3 个 动作 : 四 将 (Co ,0 加 入 到 辅助 图 TDP(Cp) 中 ; 
@@ 加 入 使 TDP(p) 可 达 封 闭 的 额外 边 到 TDP(Cp) 中 ,也 就 是 加 入 因 (a,2) 而 可 到 达 的 
新 的 可 达 边 ; @ 对 TDP(p) 中 形 如 (Xo.m,Xo.) 的 边 ,X。 是 产生 式 中 非 终结 符 X 的 
左边 出 现 , 则 将 (CX.m,X.n) 加 入 到 TDS(X) 中 。 
构造 特征 子 图 算法 如 下 : 


procedure ConstructSubCGraphs (L) 
declare 

工 : 连接 文法 

P: 工 中 的 一 个 产生 式 


总 ,为 , 久 : 工 中 的 非 终结 符 的 出 现 
ab: 工 中 非 终结 符 的 属性 
X: 工 中 的 非 终结 符 
begin 
/* 初始 化 Tps 图 和 TDP 图 */ 
for 工 中 的 每 一 个 Xdo 
TDS (x) := 为 x 的 每 一 个 属性 x.b 生 成 一 个 节点 ,但 不 生成 任何 边 。 
od 
for 工 中 的 每 一 个 产生 式 p do 
TDP (p) := 为 每 一 个 属性 马 .b 生 成 一 个 节点 ,但 不 生成 任何 边 。 
for 对 于 pp 中 的 每 一 个 属性 怪 .P do 
for 定 义 为 .b 的 属性 等 式 中 的 每 一 个 参数 也.a do 
增加 一 条 边 (所 .a, 思 .b) 到 图 TDP (p) 中 。 
假设 非 终 结 符 x 对 应 于 总 
if i=0,i=0, 有 8 (X.a,X.b) ¢ TDS (X) ,then 
在 TDs ( 习 中 插入 一 条 非 标记 边 (xX.a,X.b) 
入 
od 
od 
od 
/x* 确定 传递 关系 * / 
While 所 有 TDs 图 中 存在 一 条 非 标记 边 (X.a,X.b) do 


mark (X.a, X.b) 
for 对 于 任意 一 个 产生 式 p 中 非 终 结 符 x 的 每 一 次 出 现 do 


古 ， 沪 
if (X.a,X.b) ¥ TDP(p) then 
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We 
AddE.dgeAndIinduce (TDP (p), (X .a,X .b)) 
£1 


FinalUse(sum) FinalUse(i) 


16.4 实例 的 系统 依赖 图 


其 中 ,AddEdgeAndInduce(TDP(p).(a.5)) 主 要 完成 以 下 功能 : 

(1) 在 TDP(p) 中 增加 边 (a.6); 

(2) 补充 需要 的 边 ,以 确保 TDP(p) 传 递 闭 包 ; 

(3) 对 于 (1)、(2) 中 增加 的 任意 以 下 形式 的 边 (X。o.m,Xo.n),X。 表示 非 终结 符 
X 在 属性 等 式 p 的 左边 ,并 且 (X.m, XX.n) 久 TDS(X), 则 (X. mm, XX. nn) 增 加 到 图 
TDSCX) 中 。 

下 面 是 基于 系统 依赖 图 的 过 程 间 切片 算法 ,图 16. 5 所 示 是 最 终 的 切片 结果 。 

基于 系统 依赖 图 的 过 程 间 切片 算法 如 下 。 
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Enter Main, 


Fx 


图 16.5 最 终 的 切片 结果 


Procedure MarkVerticesOf Slice (G, S) 
declare 
G: 系统 依赖 图 
SS : G 中 的 节点 
begin 
/* 在 不 深入 调用 过 程 内 部 的 情况 下 切片 * / 
MarkReachingVertices (G,S, {fdef- order,Parameter- out}) 
/* 对 被 调用 的 过 程 内 部 切片 ,不 扩展 到 调用 节点 * / 
S :=G 中 所 有 标记 的 节点 
MarkReachingVertices (G, 总 : {def- order,parameter- in,call}) 
end 
Procedure MarkReachingVertices (G, V, kinds) 
declare 
G: 系统 依赖 图 
V: G 中 的 节点 集合 
kinds: 边 的 种 类 


” 
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Vw: G 的 节点 
WorkList: G 中 的 节点 集合 
begin 
WorkList:=V 
while WorkList 天 局 do 
选择 一 个 节点 到 并 将 其 从 workList 集合 中 删除 
mark (v) 
for 每 一 个 未 标记 节点 w, 如 果 存 在 边 w>v, 并 且 该 边 不 属于 Kinds 中 的 任何 一 类 do 
将 w 增 加 到 WorkList 中 
od 


end 


基于 系统 依赖 图 的 过 程 间 切片 仍 是 目前 最 经 典 的 过 程 间 切片 算法 之 一 ,更 详细 
的 算法 细节 ,读者 可 以 参考 文献 [3]。 本 文中 的 相关 实例 也 均 来 自 于 该 文献 。 


16.1.3 ”其 他 切片 方法 


自从 M. Weiser 提出 切片 思想 以 来 ,针对 不 同 的 应 用 需要 ,切片 技术 也 在 不 断 发 
展 和 完善 ,随后 又 提出 了 动态 切片 (dynamic slice)[ 和 和 条 件 切 片 (conditional slice)55 
等 技术 。 其 中 动态 切片 由 B. Korel 和 J. Laski 最 早 提 出 , 它 与 程序 的 某 个 特定 输入 
1。 有关 。 动 态 切 片 准则 是 一 个 三 元 组 二 n.V .1 ,要 计算 程序 P 的 动态 切片 就 是 要 
计算 程序 PP 中 在 某 个 特定 输入 Tu 的 情况 下 所 有 影响 变量 集合 V 中 变量 在 n 点 的 值 
的 语句 和 谓词 组 成 的 集合 。 

有 条 件 切 片 最 早 是 由 G. Canfora、A. Cimitile 和 A. D. Lucia 这 3 位 学 者 于 
1998 年 在 文献 L5] 中 提出 的 。 该 论文 首次 建立 了 如 何 计 算 条 件 切片 的 思想 。 从 条 件 
切片 的 定义 来 看 , 它 是 介 于 静态 切片 和 动态 切片 之 间 的 一 种 切片 形式 : 进行 条 件 切 
片 时 ,假设 满足 某 个 谓词 表达 式 的 所 有 可 能 输入 是 工 , 静 态 切片 时 程序 的 所 有 可 能 输 
和 是 工 ,动态 切片 时 考虑 的 某 个 特定 输入 是 fm , 则 三 者 的 关系 是 

A c= Pe HE = | 

从 中 可 以 发 现 ,三 者 的 关系 主要 体现 在 切片 准则 的 变化 。 如 果 切 片 准 则 是 
二 n,V, 了 4 记 , 则 所 得 的 结果 就 是 动态 切片 ;如 果 切 片 准则 是 二 n,V ,I. 记 , 则 所 得 的 结 
果 是 条 件 切 片 ;如 果 切 片 准则 是 二 n.V .I 二 , 则 就 是 静态 切片 。 


16.2 模型 检验 


模型 检验 主要 用 于 验证 反应 系统 (reactive system) 属 性 的 正确 性 .特别 是 对 于 
一 些 与 安全 息息相关 的 关键 性 系统 。 该 方法 已 成 功 应 用 于 发 现 复 杂 的 工业 产品 中 的 
细微 错误 ,如 电路 设计 、 通 信 协 议 .数字 控制 器 、 软 件 核 心 模块 等 。 除 了 静态 分 析 、 测 
试 等 传统 的 质量 控制 措施 ,模型 校 验 将 成 为 设计 反应 系统 的 标准 程序 之 一 。 模 型 检 
验 最 初 是 由 Edmund M. Clarke 于 1981 年 提出 的 :他 也 因为 在 这 方面 的 卓越 贡献 而 


0 
LS 信息 安全 中 的 数学 方法 与 技术 


获得 图 灵 奖 中 ]。 

反应 系统 是 由 多 个 组 件 组 成 ,它们 可 以 彼此 之 间 交 互 ,也 可 以 和 系统 环境 之 间 进 
行 交互 。 和 功能 系统 (functional system) 相 比 , 反 应 系统 的 特点 在 于 其 时 序 属性 
(temporal properties)。 一 个 属性 (property) 是 在 特定 时 间 所 期 望 的 行为 的 集合 。 
该 系统 满足 该 属性 当 且 仅 当 系统 的 每 次 执行 的 行为 都 属于 该 集合 。 从 逻辑 的 角度 ， 
该 系统 利用 语意 模型 (semantical model) 描述 ,属性 则 采用 逻辑 表达 式 (logical 
formula) 描 述 。 系 统 的 正确 性 因此 转变 为 确定 在 该 模型 中 表达 式 是 否 正确 。 

为 了 能 够 进行 这 样 的 验证 ,首先 需要 一 个 模型 语言 (modelling language) 用 于 描 
述 系 统 ,一 个 描述 语言 (specification language) 用 于 建立 属性 表达 式 , 以 及 执行 验证 
过 程 的 推理 算式 (deductive calculus) 或 算法 (algorithm)。 通 常 被 校 验 的 系统 采用 有 
限 状态 转换 图 来 描述 ,属性 则 形式 化 为 时 序 逻 辑 表达 式 (propositional temporal 
logic) ,确定 状态 图 是 否 满足 这 些 表达 式 则 通过 一 个 搜索 过 程 完成 。1981 年 ,Clarke 
等 人 提出 模型 校 验 时 ,模型 校 验 还 只 能 处 理 上 千 个 状态 的 小 规模 并 发 系统 。 但 近年 
来 ,通过 应 用 巧妙 的 数据 结构 和 启发 式 的 搜索 过 程 ,目前 对 系统 处 理 的 规模 已 大 大 
增加 。 

模型 校 验 成 功 的 原因 之 一 就 在 于 它 是 一 种 自动 的 验证 方法 。 交 互 式 方法 更 通 
用 ,但 难以 使 用 。 自 动 方法 虽然 具有 一 定 的 局 限 性 ,但 还 是 可 以 接受 的 。 模 型 校 验 ， 
用 户 只 需要 提供 系统 的 模型 和 需要 证 明 属 性 的 表达 式 即 可 。 当 该 模型 可 以 满足 属性 
表达 式 时 ,验证 工具 将 停止 ; 当 该 模型 不 能 满足 表达 式 时 ,该 工具 将 指出 为 什么 没有 
满足 。 这 些 反 例 将 有 助 于 确定 模型 或 系统 中 的 错误 。 

由 于 采用 完全 自动 的 方法 ,模型 校 验 需要 遍历 系统 中 所 有 可 能 的 状态 。 因 此 , 别 
的 推理 方法 可 以 处 理 无 限 状 态 的 问题 ,但 模型 校 验 只 能 处 理 有 限 的 状态 。 对 于 完全 
自动 的 方法 ,最 大 的 问题 就 是 状态 爆炸 : 如 果 系 统 中 任意 的 状态 都 描述 为 n 个 状态 
位 ,这 样 就 有 2" 种 可 能 状态 。 在 目前 ,可 处 理 的 状态 数量 将 近 10* 。 决 策 二 又 树 被 用 
于 描述 状态 空间 ,采用 这 种 方法 ,可 处 理 规模 超过 10'” 个 状态 的 系统 。 正 是 由 于 类 
似 技 术 的 出 现 , 现 有 的 工具 才 可 能 处 理 现实 中 的 复杂 系统 。 许 多 的 企业 已 利用 模型 
检验 来 验证 实际 的 产品 设计 ,如 Intel、Motorola、ATT,、Fujitsu 和 Siemens。 

模型 校 验 的 3 个 步骤 : 建 模 (modeling), 即 为 所 要 分 析 的 目标 系统 建立 相应 模 
型 ;描述 (specification) , 即 通 过 形式 化 语言 对 目标 系统 模型 和 属性 进行 描述 ;验证 
(verification) , 即 基于 前 面 的 描述 .分析 目 标 系统 是 否 具 备 相 应 的 属性 。 

下 面 将 在 16. 2. 1 小 节 中 介绍 对 于 反应 系统 的 建 模 方式 Kripke 结构 ,在 16. 2. 2 
小 节 中 将 介绍 如 何 利用 计算 树 逻 辑 来 描述 系统 .基于 计算 树 逻 辑 的 模型 检验 将 在 
16. 2. 3 小 节 中 介绍 ,这 是 一 个 完整 的 、 典 型 的 模型 检验 过 程 ;然后 将 在 16. 2. 4 小 节 
和 16. 2. 5 小 节 中 介绍 如 何 利 用 有 序 二 又 决 策 树 (OBDD) 来 描述 Kripke 结构 及 如 何 
进行 模型 检验 ,采用 该 方法 可 提高 对 大 规模 系统 的 处 理 能 力 ,优化 检验 的 性 能 。 


16.2.1 Kripke 结构 
在 模型 检验 中 ,一 般 用 Kripke 结构 (Kripke structure) 来 为 反应 系统 的 行为 到 


中 
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模 。 一 个 典型 的 Kripke 结构 一 般 由 一 个 状态 集合 .状态 转换 关系 和 状态 的 属性 标示 
函数 (用 于 标示 每 一 个 状态 中 所 有 为 真 的 属性 ) 组 成 。Kripke 结构 中 的 路 径 就 对 应 
于 系统 的 计算 过 程 。Kripke 结构 的 定义 如 下 : 

假设 AP 是 一 个 原子 命题 集合 ,AP 上 的 Kripke 结构 M 是 一 个 四 元 组 , M 一 
(9,50;RiL)s 其 中 

(1) S 是 一 个 有 限 状 态 集 合 ; 

(2) So 丑 S, 是 初始 状态 集合 ; 

(3) RSSXS 是 一 个 Total 转换 关系 , 即 对 于 任何 ;SE S, 均 存在 一 个 状态 * ,使 
得 RGs,s ) 成 立 ; 

(4) 工 :S 一 2 全 是 一 个 标示 函数 ,标示 出 每 一 个 状态 中 所 有 为 真 的 原子 命题 。 

有 时 并 不 关注 初始 状态 So ,这 样 将 忽略 对 其 的 定义 。Kripke 结构 M 中 从 状态 
出 发 的 一 条 路 径 是 一 个 无 限 的 状态 序列 x 一 sostse…, 其 中 一 *, 并 且 对 于 所 有 ;之 0， 
Rossiti) 成 立 。 下 面 是 一 个 Kripke 结构 的 实例 ,本 节 所 有 实例 数据 均 来 自 于 
文献 [5]。 

例 16.2.1 对 于 变量 xz,yE€ED=={0,1) ,假设 一 个 系统 仅 有 z,y 两 个 变量 和 一 个 
转换 关系 : zx: 二 (z+ 十 y)mod 2, 则 (x,y)EDXD 即 可 描述 系统 的 状态 。 假 设 系统 的 
初始 状态 为 + 二 1,y 二 1。 则 其 初始 状态 集合 可 描述 为 S, (xz.y) 三 x+ 二 1 人 yy 二 1。 其 状 
态 转 换 关 系 则 可 以 表示 为 

R((zrsy) (rsy)) Er = (r+y mod2Ay =y 
其 中 ,状态 (x’,y ) 是 (zx,y) 的 下 一 状态 。 因 此 ,针对 该 系统 建立 的 Kripke 结构 四 元 
组 M=(S,S。,R,L) 定 义 如 下 : 

(1) S=DXxD 

(2) So 一 {(1,1))} 

(3 R= {C1 NO TI C0 TY CL DY CCL O10) C00,07,.C0407)) 

4) L((1,1))={z=1;y=1};L((0,1))={z=0,y=1}),L((1,0))= {z=1,y=0}, 

L((0,0))= {z=0,y=0} 
从 初始 状态 存在 一 条 唯一 的 路 径 (1 ,1)(0.1)(1,1)(0,1)…。 


16.2.2 计算 树 逻 辑 


计算 树 逻 辑 (CTL"* ) 公 式 主要 用 于 描述 计算 树 的 属性 。 而 计算 树 则 是 通过 指定 
Kripke 结构 中 的 一 个 初始 状态 作为 树 的 根 节 点 ,然后 将 该 结构 展开 成 一 个 无 限 树 而 
获得 。 具 体 可 参考 图 16. 6 中 实例 :计算 树 给 出 了 从 该 初始 状态 节点 出 发 所 有 可 能 的 
路 径 。 

CTI 公式 由 路 径 量 词 (path quantifier) 和 时 序 操 作 符 (temporal operator) 组 
成 。 路 径 量词 主要 是 用 于 描述 计算 树 的 分 支 结 构 , 包 括 两 种 量词 :A, 表 示 所 有 的 计 
算 路 径 ; 眉 .表示 某 一 计算 路 径 。 路 径 量词 用 于 限定 某 一 特定 状态 ,表示 起 始 于 该 状 
态 的 所 有 路 径 或 一 些 路 径 满足 某 些 属性 。 时 序 操 作 符 主要 描述 某 一 特定 路 经 所 满足 
的 属性 ,主要 有 5 种 基本 的 操作 符 : 
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Cab) 
Cb) Cbe ) Ce) 
(be ) Cab ) Ce) Ce) 
(a) Kripke 结构 的 状态 转换 图 (b) 计算 树 
16.6 Kripke 结构 与 计算 树 


(1) X,“ 下 一 次 ”, 表 示 该 路 径 的 下 一 个 状态 即 第 二 个 状态 满足 相关 属性 ; 

(2) F, “最终” 或 “将 来 ”, 表 示 该 路 径 中 至 少 存在 一 个 状态 满足 相关 属性 ; 

(3) G,“ 总 是 或“ 全部”, 表示 该 路 径 的 每 一 个 状态 都 满足 相关 属性 ; 

(4) U,“ 直 到 ”, 它 组 合 两 个 属性 ,表示 路 径 中 一 直 满 足 第 一 个 属性 直到 出 现 了 
一 个 状态 满足 第 二 个 属性 ; 

(5) R,“ 释 放 ”, 它 也 组 合 了 两 个 属性 ,表示 路 径 中 各 状态 一 直 满 足 第 二 个 属性 ， 
直到 出 现 了 一 个 状态 满足 第 一 个 属性 ,同时 ,满足 第 一 个 属性 的 第 一 个 状态 同时 也 满 
足 第 二 个 属性 ,在 此 以 后 ,第 二 个 属性 不 再 满足 。 

在 CTL ” 中 ,有 状态 公式 (state formula) 和 路 径 公 式 (path formula) 两 种 。 假 设 
AP 是 一 个 原子 命题 集合 。 状 态 公 式 定义 如 下 : 

(1) 如 果 pE AP, 则 p 是 一 个 状态 公式 ; 

(2) 如 果 和 g 是 状态 公式 , 则 一 ffV g 和 fA 人 g 都 是 状态 公式 ; 

(3) 如 果 了 是 一 个 路 径 公 式 , 则 Ef 和 AJf 是 状态 公式 。 

路 径 公 式 定义 如 下 : 

(1) 如 果 f 是 一 个 状态 公式 , 则 了 也 是 一 个 路 径 公式 ; 

(2) 如 果 f 和 g 是 路 径 公 式 , 则 一 /AVg、fAg、Xf.Ff.Gf、fUg、fReg 均 是 路 
径 公 式 。 

对 于 路 径 x, 用 x' 表示 x 从 > 开始 的 后 缀 。 假 设 f 是 一 个 状态 公式 , 则 Ms|= 
了 表示 Kripke 结构 M 中 的 * 满足 状态 公式 上 。 如 果 j 了 是 一 个 路 径 公 式 , 则 M,r| 一 了 
表示 Kripke 结构 M 中 的 路 径 r 满足 公式 /。 在 不 会 引起 误会 时 ,往往 将 其 中 的 
Kripke 结构 M 省 略 。 假 设 fi 和 fs 是 状态 公式 ,gl 和 gs 是 路 径 公 式 , 则 : 

(1) M,s|=pSOpELGs); 

(2) Ms| 一 了 万全 Ms 天 户 ; 

(3) M,s|=fiV 户 全 Ms 一方 或 Ms 一 户 ; 

(4) M,s|=fiAfiSEM,s|=f BM,s|=f,; 

(5) M,s| 二 Egi 今 存在 一 个 起 始 于 s 路 径 x ,使 得 M,x| 一 gi; 

(6) Ms| 一 Agi 合 任意 一 个 起 始 于 路 径 x, 均 满足 M,x| 二 gi; 

(7) M,r| 一 户 合 * 是 路 径 x 的 起 始 状态 :满足 M,s| 一 亡 ; 

(8) M,r| 一 8 全 Mr 天 8g1; 
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(9) M,r| 一 gl Vgz 全 Mr| 一 8 或 Mr 一 gz; 

(10) M,r| 一 gl Agz 人 Mr 一 5 且 M,r| 一 go; 

(11) Mr 一 Xe 全 MT 一 5 

(12) M,x|= 二 Fgi 今 存在 一 个 & 宇 0, 使 得 M,m|==gi; 

(13) M,x| 二 Gg1 令 对 于 所 有 i 宇 0, 均 满足 M ,ri| 二 i; 

(14) M,x| 二 gy Ugs 今 存在 k 宇 0, 均 满足 M,z | 一 gs; 并 且 对 于 任意 0 三 j 二 k,M， 
EH | 一 815 

(15) M,x| 二 gi1Rgz 今 对 于 任意 j 宇 0,0 达 i 二 j ,如 果 Mri| 关 gi1; 则 M ,ze| 二 gz。 

实际 上 ,通过 操作 符 V、 了 了 、X、U 和 下 可 以 表达 其 他 CTL"* 公式 : 

(1) fAg= -5(7fV "8g); 

(2) fRg=- ("f/fU- 8g); 

(3) Ff=TrueUf:; 

(4) Gf=-F- fs 

(5) Af=-E(-/)。 

CTL"* 有 两 个 子 逻 辑 ,一 个 是 分 支 时 间 逻 辑 (branch-time logic) , 另 一 个 是 线性 
时 间 逻 辑 (linear-time logic) 。 分 支 时 间 逻 辑 主要 用 于 描述 对 于 一 个 给 定 状 态 的 可 能 
路 径 分支 , 而 线性 时 间 逻 辑 主要 是 用 于 描述 单一 计算 路 径 中 的 事件 。 

CTL 是 CTL ”的 子 罗 辑 , 其 时 序 操作 符 XF.G、U 和 R 后 面 必须 紧 接 路 径 量 
词 。 更 准确 地 说 ,CTL 是 在 CTL 的 基础 上 依据 以 下 规则 限定 产生 : 

。 如 果 了 和 g 是 状态 表达 式 , 则 Xf、Ff、.Gf、fUg 和 Rs 是 路 径 表 达 式 。 

LTL 线性 时 序 逻 辑 则 是 在 CTL" 的 基础 上 依据 以 下 规则 限定 产生 : 

。 如 果 pE AP, 则 p 是 一 个 路 径 表 达 式 ; 

。 如 果 f 和 gg 是 路 径 表 达 式 , 则 一 /AfVg、fAg、Xf.Ff.Gf、fUg 和 /Rg 是 

这 3 种 逻辑 具有 不 同 的 表达 能 力 , 比 如 LTL 中 的 表达 式 A(FG p) 在 CTL 中 无 
法 找到 对 应 的 表达 方式 ,同样 CTL 中 的 表达 式 AG(EF p) 在 LTL 中 也 没有 对 应 的 
表达 式 , 而 二 者 的 析 取 A(FG p)V AG(EF p) 是 CTL* 表达 式 ,CTL 和 LTL 均 无 法 
表达 。 

后 续 内 容 多 采用 CTL 描述 ,以 下 是 10 个 基本 的 CTL 操作 符 : 

(1) AX 和 EX; 

(2) AF 和 EF; 

(3) AG 和 EG; 

(4) AU 和 EU; 

(5) AR 和 ER。 

上 述 的 操作 符 也 可 以 通过 EX、EG 和 EU 这 3 个 操作 符 表 示 : 

7 

(2) EFf=ELTrueUf]j; 

(3) AGf= -EF(-/); 
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(4) ALFUg] 一 ”ELmgUCmFAmSgS)]A 人 Am”EG 一 gs; 

《5》 人 [7YRSI 王 二 到 二 OK 一 ED 

(6) ELFRe] 一 AL- AUCneg)]。 

在 实际 的 分 析 验 证 过 程 中 :往往 需要 对 分 析 的 系统 增加 一 些 前 提 条 件 , 比 如 在 分 
析 协 议 过 程 中 ,可 能 会 假设 信道 是 安全 的 。 这 些 限 定 条 件 在 CTL* 逻辑 中 可 以 较 好 
地 表达 ,但 在 CTL 逻辑 中 则 需要 做 适当 的 修改 。 这 里 引入 Fairness 语义 。Fairness 
约束 是 状态 集合 ,可 能 通过 远 辑 表达 式 表示 。 如 果 CTL 人 逻辑 中 增加 了 Fairness 约 
束 , 对 于 约束 中 的 任意 一 个 状态 集合 ,如 果 路 径 中 至 少 包含 了 一 个 状态 属于 该 集合 ， 
则 称 该 路 径 为 Fairness 路 径 。 

一 个 Fair Kripke 结构 是 一 个 四 元 组 M 二 (S,R,L,F), 其 中 SL 和 R 仍 如 前 所 
定义 ,FC25, 是 Fairness 约束 集合 。 假 设 =5o,s1,… 是 M 中 的 一 条 路 径 。 定 义 

inf(x) = {s|1s= $7i 守 0} 

则 称 x 是 Fair 的 , 当 且 仅 当 对 于 任意 Fairness 约束 PEF, 均 有 inf(x) 门 P 隆 名。 用 
M,s| 二 kf 表示 状态 表达 式 f 在 Fair Kripke 结构 M 中 状态 为 真 ,采用 M,r| 一 rg 
表示 路 径 表 达 式 g 对 于 M 中 的 路 径 x 为 真 。 对 于 前 面 给 出 的 15 条 公式 中 ,只 有 1、 
5、6 发 生变 化 : 

1: M,s| 二 :pp 今 存在 一 条 起 始 于 ; 的 Fair 路 径 p€EL(s)。 

5: M,s| 一 FE(Csgl) 兮 存在 一 条 起 始 于 的 Fair 路 径 x,rx| 一 rgl。 

6: M,s| 王 FE(Csgl) 今 对 于 任意 起 始 于 的 Fair 路 径 x,x| 一 rgl。 

本 文中 将 不 对 讨论 具有 Fairness 约束 的 模型 校 验 方法 ,如 果 读 者 对 相关 内 容 感 
兴趣 ,可 进一步 阅读 文献 [5]。 


16.2.3 CTIL 模型 校 验 


模型 校 验 问题 利用 CTL* 描述 就 是 ,给 定 一 个 描述 系统 的 Kripke 结构 
M=(S,R.L) 和 一 个 逻辑 表达 式 f 用 于 描述 该 系统 期 望 满足 的 属性 ,模型 校 验 就 是 
需要 在 S 中 寻找 所 有 满足 该 表达 式 了 的 状态 : {s€ESIM,s| 二 1}。 在 这 里 仅 介 绍 应 
用 最 广泛 的 CTL 模型 检验 ,LTL 和 CTL"* 模型 检验 可 参考 文献 [5j]。 

对 于 Kripke 结构 M 二 (S,R.L) ,如果 想 知道 S 中 哪些 状态 满足 CTL 表达 式 f， 
将 首先 对 每 一 个 状态 s, 表 达 式 的 子 表达 式 在 状态 * 为 真 , 利 用 label(s) 进 行 标 记 。 这 
里 label(s) 初 始 值 就 是 L(s)。 然 后 将 进行 一 系列 的 分 析 步 又 ,在 第 i 步 ,对 第 i 一 1 步 
的 子 命题 进行 分 析 ,直到 结束 ,这 样 将 可 以 得 到 M.,s| 二 了 当 且 仅 当 Elabel(s)。 

任何 CTL 表达 式 均 可 利用 一 、V 、.EX、EU 和 EG 的 形式 表示 。 这 样 中 间 步 又 需 
要 处 理 6 种 形式 的 表达 式 就 可 以 了 : 一 用、fi1V fis、EXf 有 ni、EL 有 Ufzj、EGfi 或 者 g 
是 原子 命题 。 

对 于 了 一方 ,将 所 有 所 没有 标记 的 状态 均 标 记 。 对 于 有 V fo; 则 将 所 有 fi 和 fs 标 
记 的 状态 均 标记 上 。 对 于 EX 户 :如果 状态 的 后 继 状态 被 户 标记 , 则 将 该 状态 标记 。 

对 于 形 如 g 二 ELf1Uf;] 的 表达 式 , 首 先 搜 索 所 有 fs 标记 的 状态 .然后 通过 RR 的 
逆向 操作 ,查找 所 有 可 能 到 达 这 些 状态 的 路 径 , 如 果 这 些 路 径 中 存在 状态 被 户 标记 ， 
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将 这 些 状态 标记 为 g。 

下 面 给 出 了 CheckEU 算法 ,对 于 任意 的 状态 *: 当 且 仅 当 s| 王 亡 , 则 fi € label(s)， 
当 且 仅 当 s| 二 fi;, 则 f。 Elabel(s)。 如 果 广 ,fs€label(s), 则 该 函数 将 EL[Lf1Ufs] 增 
加 到 所 有 满足 该 表达 式 状态 的 标示 集合 label(s) 中 。 该 算法 的 计算 复杂 度 为 
es IR 


Procedure CheckEU (fi ,f) 
T:={slf.€ 1label (s)}; 
For 所 有 sE 7 do label(s):=label(s)U {EL[LfU£]}; 
While TAG do 
选择 一 个 s€ 7, 将 其 从 了 中 删除 ; 
For 对 于 所 有 满足 R(t,s) 的 t do 
IE EL fiUf]F 1abel(t), 并 有 f€ label (t) then 
label (t) := label (t) U {EL[£U£]}; 
7T:=7U {t}; 
End if; 
End for; 
End while; 


End procedure 


对 于 gs= 王 EG 户 的 分 析 则 相对 来 说 更 为 复杂 。 它 是 通过 将 图 分 解 为 非 平 凡 的 强 
连通 分 量 实现 的 。 一 个 强 连通 分 量 (strongly connected component)C 是 一 个 极 大 子 
图 ,其 中 任意 一 个 节点 都 可 从 其 他 任意 的 节点 通过 有 向 路 径 到 达 。C 是 非 平凡 的 当 
且 仅 当 C 中 的 节点 不 只 一 个 节点 ,或 只 有 一 个 节点 ,但 该 节点 存在 一 个 自 循环 , 即 存 
在 一 条 边 ,起 始 节 点 和 终止 节点 均 为 该 节点 。 

假设 M=(S,R,L), 将 S 中 /不 为 真 的 状态 均 删 除 .得 到 S ,然后 删除 相应 转 
换 关 系 和 标示 关系 ,得 到 R' 和 LL, 这样 就 得 到 新 的 Kripke 结构 M 一 (S ,RD) ,其 
中 S'={s€ESIM,s|= 二 1),R' 二 RIsxs ,L 二 L|s。 这 样 ,R' 有 可 能 不 是 闭 包 的 。 如 
果 没 有 任何 转换 关系 ,存在 的 节点 将 被 删除 。 

引 理 16.2.1 M.s| 王 EG 户 当 且 仅 当 以 下 两 个 条 件 满足 : 

CLsES 

(2) 在 图 (S’,R'’) 中 ,存在 一 个 非 平凡 的 强 连通 分 量 C, 其 中 M 中 存在 一 条 路 径 
从 s 到 C 中 的 节点 zt。 

以 下 算法 是 根据 该 引 理 实现 的 ,该 引 理 的 证 明 可 参考 文献 L5]。 


Procedure CheckEG (五 ) 
S={sIf€ 1abel(s)}; 
scc:= {CIC 是 3 的 非 平 凡 强 连通 部 件 }7 
T:=U cesc {s1s€E cl 
For 所 有 sE Tdo label(s):=label(s)U {EG 五 }7 
While TA do 
选择 一 个 s€ 7, 将 其 从 了 中 删除 ; 
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For 所 有 满足 R(t,s) 并 且 t€ 5 ao 
If EG f. $ label (t) then 
label (t) :=1label (t)U {EL[L£UE]}; 
7T:=7TU {t}; 
End if 
End for 
End while 
End procedure 


该 算法 首先 生成 受 约束 的 Kripke 结构 M' = 二 (S’,R’,L'), 然 后 将 图 (S’,R’) 化 分 
成 强 连 通 分 量 。 该 算法 的 复杂 度 是 O(|S’| 十 |R'|1)。 然 后 ,寻找 属于 非 平 凡 分 量 的 
状态 ,通过 转换 关系 R' 的 逆向 关系 .分析 可 到 达 的 节点 ,并 且 要 求 到 达 该 节点 的 路 径 
中 各 状态 均 被 fi 标示。 整个 计算 过 程 的 复杂 度 是 O(|S| 十 |R|)。 

定理 16.2.1 对 于 一 个 CTL 表达 式 /判断 其 在 Kripke 结构 M 二 (S,R,L) 中 
状态 * 时 是 否 为 真 的 时 间 复 杂 度 是 OC(|f|* (|S| 十 |R1))。 


16.2.4 有 序 二 又 决 策 图 (OBDD) 


有 序 二 又 决策 图 (ordered binary decision diagram) 是 用 于 表示 布尔 公式 的 重要 
手段 之 一 ,并 已 成 功用 于 多 项 计算 机 辅助 设计 工作 中 。 在 介绍 二 又 决 策 图 之 前 ,首先 
了 解 一 下 二 又 决策 树 。 二 又 决策 树 是 一 种 有 根 、 有 向 树 ,包括 终 端 节点 和 终端 节点 两 
种 节点 。 每 个 非 终 端 节点 v 标示 为 变量 var(v), 具 有 两 个 子 节 点 : low(v) ,对 应 于 变 
量 被 赋予 0 时 的 情况 ;high(v) ,对 应 于 变量 wv 被 赋予 1 时 的 情况 。 每 一 个 终端 节点 vw 
被 标示 为 value(v) ,其 值 是 0 或 者 1。 

图 16.7 所 示 是 公式 f(a ,as :bb2) 二 Cao01) 信 (as 呈 bs) 的 二 又 决 策 树 。 


16.7 二 叉 决策 树 


二 又 决 策 树 对 于 表示 布尔 函数 来 说 并 不 是 一 种 简洁 的 手段 , 它 的 大 小 和 真 值 表 
一 样 。 但 是 在 二 又 决策 树 中 存在 大 量 的 元 余 , 其 中 存在 一 些 同 构 的 子 树 , 合 并 这 些 同 
构 子 树 可 以 大 大 地 简化 二 又 决策 树 。 通 过 该 简化 过 程 ,可 以 得 到 一 个 有 向 非 循环 图 ， 
即 二 又 决策 图 。 二 又 决策 图 是 一 种 有 根 、 有 向 非 循环 图 .包括 终端 节点 和 非 终 端 节点 
两 种 节点 。 如 同 二 又 决 策 树 的 描述 ,每 个 非 终 端 节点 v 表示 为 一 个 变量 var(v), 具 
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有 两 个 子 节点 : low(v) 和 high(v)。 每 个 终端 节点 表示 为 0 或 者 1 。 

根 为 v 的 二 又 决 策 图 B ,确定 了 一 个 布尔 函数 f(zi ,x2，… ,x,) ,其 中 : 

(1) 如 果 wv 是 一 个 终端 节点 : 

@ 如 果 value(v) 二 1;, 则 广 Czi:zz，…,zo) 一 1; 

@@ 如 果 value(u) 一 0, 则 f(zxi ,zs，*… ,Xx,) 二 0。 

(2) 如 果 wv 是 一 个 非 终 端 节点 ,并 且 var(v) 王 zx;, 则 

lr 二 NN fm na) V Cm A fi Go sn) 

对 于 两 个 二 又 决 策 图 ,如 果 存 在 一 个 节点 集合 上 的 一 一 映射 函数 hh 使 得 ,对 于 任 
意 节 点 终端 wv,value(v) 二 value (h(v)); 对 于 任意 的 非 终 端 节点 v, var Cu) 一 
var(h(v)),h(low(v))=low(h(v)) 和 h(high(v))=high(h(v)). 

Bryant 等 人 提出 了 一 种 简化 布尔 函数 表示 的 方法 ,在 二 又 决策 图 的 基础 上 增加 
了 两 条 限制 : 一 是 各 路 径 中 从 根 节点 到 终端 节点 ,变量 出 现 的 顺序 必须 一 致 ;另外 ， 
在 图 中 不 存在 同 构 的 子 树 和 元 余 的 节点 。 对 于 第 一 个 限制 ,只 需要 在 变量 之 间 建 立 
一 个 序 ,对 于 任意 的 非 终 端 节点 u, 如 果 它 存在 一 个 子 节点 wv, 则 var(w) 二 var(v)。 对 
于 第 二 条 限制 , 则 需要 通过 以 下 操作 实现 。 

(1) 删除 重复 的 终端 节点 : 对 于 一 个 给 定 的 值 ,0 或 者 1, 仅 保留 一 个 终端 节点 ， 
删除 其 他 终端 节点 ,将 指向 被 删除 节点 的 边 重 定向 到 保留 的 节点 。 

(2) 删除 重复 的 非 终 端 节 点 : 如 果 两 个 非 终 端 节点 uw 和 um,'var(Cxu) 一 varCu)， 
low(w) 二 low(v) ,并且 high(Cu) 王 high(Cz) , 则 删除 w, 将 所 有 指向 节点 wx 的 边 重 定向 
到 节点 wv。 

(3) 删除 元 余 的 测试 (test) ,如 果 非 终端 节点 v,low(v) 二 high(v), 则 删除 节点 
v, 将 所 有 进入 边 重 定向 到 low(v)。 

通过 重复 地 进行 以 上 操作 ,直到 二 又 决策 图 的 大 小 不 再 发 生变 化 ,就 可 以 得 到 一 
个 简化 的 三 又 决策 图 。 对 于 通过 以 上 操作 得 到 的 二 又 决 策 图 , 称 之 为 有 序 二 又 决策 
图 (Ordered Binary Decision Diagram, OBDD)。 如 果 按 照 wa 二 凡 二 as 二 0 和 
二 as 王 二 bs 的 顺序 ,可 以 得 到 两 个 不 同 的 OBDD, 如 图 16. 8 所 示 。 


16.8 采用 不 同 顺序 的 有 序 二 叉 决 策 树 
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从 中 可 以 发 现 , 采 用 不 同 的 顺序 对 OBDD 图 的 大 小 和 复杂 程度 有 严重 的 影响 。 
针对 如 何 寻 找 最 有 效 的 变量 顺序 或 如 何 对 OBDD 图 中 的 变量 进行 重新 排序 以 简化 
OBDD 图 问题 ,一 些 学 者 提出 了 各 种 不 同 思路 。 比 如 针对 集成 电路 应 用 的 深度 搜索 
方式 ,动态 重 排 (dynamic reordering) 技 术 等 。 

对 于 布尔 函数 f, 当 将 其 中 变量 zx; 赋值 为 5 时 ,可 以 表示 为 以 下 形式 : 

大 | 

当 上 了 表示 为 OBDD 时 ,可 以 在 该 OBDD 基础 上 进行 变换 得 到 f|,- 的 OBDD 表 
示 。 变 换 采 取 深 度 优先 的 搜索 ,对 于 任意 一 个 节点 v, 如 果 它 有 一 条 边 指 向 节点 ww， 
而 且 var(w) 二 x;, 则 : 

(1) 如 果 5 二 0, 将 该 边 重 定向 到 low(v); 

(2) 如 果 45 二 1, 将 该 边 重 定向 到 highCu); 

然后 执行 上 面 的 3 项 操作 ,简化 新 图 , 即 得 到 /1 的 OBDD。 

其 他 16 个 双 操 作 数 的 逻辑 操作 也 可 以 高 效 地 通过 OBDD 转换 实现 。 其 核心 思 
想 是 利用 Shannon Expansion: f=( 了 TzAflio)V (zrAfli)。 

对 于 这 16 个 操作 符 ,Byrant 给 出 了 一 个 通用 的 算法 Apply。 先 作 以 下 假 ; 

(1) 假设 * 代表 16 个 操作 符 中 的 任意 一 个 操作 符 ; 

(2) f 和 了 是 两 个 布尔 函数 ,v 和 w 对 应 于 这 两 个 函数 的 OBDD 根 节点 ; 

(3) z=var(v) 和 x’ =var(v’); 

则 有 : 

@ 如 果 ww 和 w' 都 是 终端 节点 , 则 fx* f/f 二 value(v) * value(v); 

@ 如 果 z= 二 x , 则 展开 得 到 : 

x = Vl 

将 公式 展开 成 两 部 分 ,然后 对 两 部 分 子 公 式 通过 递归 逐步 解析 。 对 于 以 上 展开 
的 两 部 分 ,生成 的 OBDD 为 一 个 新 的 根 节 点 tw,var(w) 二 zx, 其 low (rw) 对 应 于 
fz-o* 了 1:0 的 OBDD,high(w) 对 应 于 f1z1 x* 了 1z1 的 OBDD。 

图 如 果 zx 二 x , 则 了 不 依赖 于 xz, 因 此 ,1,6 二 了 1s 二 了 7, 则 

fxf = "zrA Cf lo*f))V (rh fle f)) 
其 OBDD 的 构造 过 程 如 上 所 述 。 

如 果 xz’ 二 xz, 则 其 思路 与 上 类 似 。 

下 面 介绍 如 何 利 用 OBDD 来 表示 Kripke 结构 。 首 先 . 假 设 Q 是 10,1} 上 的 一 个 
n 元 关系 ,这 样 Q 可 根据 其 特征 函数 生成 其 OBDD. 即 

arz…rz) 一 1 车 Q(zxi,*…,z,) 

这 样 不 失 一 般 性 ,可 以 进一步 假设 Q 是 有 限 域 D 上 的 ?元 关系 ,可 以 假设 D 有 

2” 个 元 素 (m 二 1)。 为 了 利用 OBDD 来 描述 Q,; 需 要 对 了 中 的 元 素 进 行 编码 ， 


$:{0,1}”" 一 DD,。 这 样 ,根据 该 编码 $, 可 以 构造 一 个 新 的 mXn 元 布尔 关系 Q: 
QCx1 az) — QEGCX1) ,7 px)) 
其 中 ,x; 是 一 个 m 维 的 布尔 向 量 , 对 应 于 变量 zx; 的 编码 。 这 样 Q 就 可 以 根据 Q 的 特 
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征 函 数 fa 生成 相应 的 OBDD。 该 方法 也 可 以 很 容易 地 扩展 为 基于 D1,…,D, 多 个 
不 同 域 的 多 元 关系 。 

对 于 Kripke 结构 M 二 (S,R,L), 需 要 准确 地 描述 S.R 和 LL。 对 于 SS, 假设 有 2” 
个 状态 ,可 以 通过 Y%:{0,1)" 一 S 进行 映射 。 对 于 关系 RR, 其 状态 仍然 按照 S 的 映射 
方式 ,关系 转换 过 程 仍然 通过 当前 状态 x 和 下 一 步 状态 x’, 即 经 过 转换 后 得 到 


RR(x,x’) ,这样 R 的 OBDD 可 根据 特征 函数 太 得 到 。 
16.2.5 符号 模型 检验 


下 面 将 介绍 如 何 利 用 OBDD 描述 Kripke 结构 来 进行 模型 检验 ,该 方法 之 所 以 
称 之 为 “符号 模型 检验 ”是 因为 它 的 分 析 过 程 主要 是 在 布尔 表达 式 的 基础 上 进行 的 。 
由 于 OBDD 描述 的 是 状态 或 转换 关系 的 集合 ,相关 操作 需要 对 整个 集合 而 不 是 独立 
的 状态 或 转换 。 这 样 , 引 入 时 序 逻 辑 操作 的 固定 点 (fixpoint) 概 念 。 集 合 S'S 是 函 
数 r:2(S) 一 2(S) 的 固定 点 , 当 且 仅 当 r(S ) 一 S 。 

假设 M=(S,R,L) 是 任意 一 个 有 限 的 Kripke 结构 。 集 合 9(S) 是 S 的 所 有 子 
集 , 用 9(S) 来 表示 该 格 。 其 元 素 S' 也 可 以 认为 是 S 中 的 一 个 断言 ,就 是 在 S' 中 的 所 
有 状态 为 真 。 格 中 的 最 小 元 素 是 空 集 , 有 时 也 直接 采用 “False” 表 示 ,最 大 的 元 素 是 
S, 有 时 也 写 为 “True”。 从 9(S) 到 9(S) 的 映射 函数 , 称 之 为 一 个 断言 转换 ,假设 
r:9(S) 一 9(S) , 则 ， 

(1) 如 果 PSQ 蕴含 着 5(P) 导 rt(Q). 则 称 zt 是 单调 的 ; 

(2) 如 果 Pi 导 P; 导 … 蕴 含 着 tr(U;P;) 己 Uir(P;), 则 称 t 是 UU 连续 的 ; 

(3) 如 果 PP 之 P: 之 … 列 含 着 tr( 门 :P;) 己 站 tr(P;), 则 称 t 是 门 连续 的 。 

用 rt(2Z) 表 示 在 集合 Z 上 应 用 rz 函数 i 次 ,其 中 下 (2Z)==Z ,rt1(Z) 二 rt(ri(Z))。 
2(S) 中 的 单调 的 断言 转换 zt 永远 存在 一 个 最 小 固定 点 (least fixpoint) ,w2. rCZ) 和 一 
个 最 大 固定 点 (greatest fixpoint) ,vZ. r(CZ) 。 

(1) 如 果 tc 是 单调 的 , 则 jyZ. rt(2Z) 二 站 {ZI1r(2Z)SZ} ,wwZ.r(2Z)= 二 UI{ZIr(2Z) 刁 2Z}。 

(2) 如 果 t 是 UU 连续 的 , 则 jy2Z. rt(2Z) 二 Ui;(r'(False))。 

(3) 如 果 + 是 门 连续 的 , 则 vZ. Tt(2Z)== 门 :ri(True)。 

引 理 16.2.2 如 果 S 是 有 限 的 ,rt 是 单调 的 , 则 zt 是 U 连续 的 和 门 连续 的 。 

引 理 16.2.3 如 果 t 是 单调 的 , 则 对 于 任意 的 i,r'(False)CCrt1i(False), 并 且 
ti(True) rit! (True)。 

引 理 16.2.4 如 果 SS 是 有 限 的 ,= 是 单调 的 , 则 存在 一 个 整数 io ,使 得 任意 ) 三 mn， 
ti(False) 一 zo (False) ,同样 ,也 存在 一 个 整数 j。 ,使 得 任意 j 宇 io ,ri (True) 一 ro (True ) 。 

引 理 16.2.5 如 果 S 是 有 限 的 ,rt 是 单调 的 , 则 存在 一 个 整数 mn ,使 得 wZ. r(2) 一 
to (False) ;也 存在 一 个 整数 j。 ,使 得 vZ. rCZ) 一 rm (True)。 


function Lfp (Tau: PredicateTransformer): Predicate 
Q: =False; 
d=Tau (9); 
while (2 天 Cg ) do 
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Q:=Q; 

:=Tau (dg); 
end while 
return(O); 


end function 


function Gfp (Tau: PredicateTransformer): Predicate 
Q:=True; 
Q=Tau (Q); 
while (QQ) do 
Q:=d; 
Q :=Tau(g); 
end while 
return (QO); 


end function 


在 2(S) 中 的 断言 {s1M,s| 二 /基础 上 分 析 CTL 表达 式 f 时 ,每 一 个 CTL 操作 
可 以 转换 为 类 似 函 数 的 最 小 固定 点 和 最 大 固定 点 分 析 : 

(1) AFfi=12Z. fiV AXZ; 

(2) EFf,=Z. fi V EXZ; 

(3) AGfi=vZ. .Ph MAXZ:; 

(4) EGfi =wZ. fi MN EXZ; 

(5) A[LfiUfsj=p2. faeV (fi MAXZ); 

(6) EL[fiUfeJ=p2. fo V (fi MEXZ); 

(7) ALf1RfiJ]=vZ. fo A (fiV AXZ); 

(8) EL[LfiRfsj=vZ. fe A (fiVEXZ). 

直观 上 讲 ,最 小 固定 点 对 应 于 “最 终 会 出 现 的 属性 ”, 最 大 固定 点 对 应 于 “一 直 具 
备 的 属性 ”。 下 面 将 证 明 EG 和 EU 的 固定 点 特性 。 

引 理 16.2.6 (2Z) 二 1 人 EXZ 是 单调 的 。 

引 理 16.2.7 假设 r(2Z) 王 户 人 EXZ,. 且 ma(2) 是 序列 True 之 rCTrue) 之 … 的 极 
限 。 对 于 任意 sEra (True) , 则 | 一 亡 , 并 且 存 在 一 个 状态 y ,使 得 (s,s’)ER, 并 且 
5 EroCTrue) 。 

引 理 16.2.8 EG 有 fi 是 函数 (2Z) 一 有 1 人 EXZ 的 一 个 固定 点 。 

引 理 16.2.9 EGfi 是 函数 5(2Z) 一 fi 人 EXZ 的 一 个 最 大 固定 点 。 

引 理 16.2.10 ELf1Uf;j 是 函数 EL[f1Ufij] 二 fzV (fi1 人 EX2Z) 的 最 小 固定 点 。 

在 16.2.4 小 节 中 ,介绍 了 CTL 模型 检验 算法 ,该 算法 的 复杂 度 和 图 的 大 小 及 表 
达 式 的 长 度 是 线性 相关 的 ,应 该 说 速度 已 经 相当 快 了 。 但 随 着 分 析 目 标 越 来 越 复杂 、 
越 来 越 庞 大 ,CTL 检验 仍 存在 状态 空间 爆炸 的 问题 ,下面 将 介绍 利用 OBDD 来 描述 
Kripke 结构 ,进而 在 其 基础 上 进行 模型 检验 ,将 可 提高 其 对 状态 的 描述 能 力 ,在 一 定 
程度 上 解决 状态 空间 爆炸 问题 。 在 此 之 前 .首先 介绍 量化 布尔 表达 式 QBF 


(Quantified Boolean Formulas) 。 
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对 于 一 个 命题 变 元 集合 V 二 {vo，…,v-1),; QBF(V) 是 满足 以 下 条 件 的 最 小 


(1) V 中 的 每 个 变 元 都 是 表达 式 ; 

(2) 如 果 f 和 g 是 表达 式 , 则 一 ffVg 和 fA 人 人 g 是 表达 式 ; 

(3) 如 果 了 是 表达 式 , 并 且 vEV, 则 3vf 和 Vvf 均 是 表达 式 。 

对 于 QBF(V) 的 真 值 赋值 是 一 个 函数 o:V 一 {10,1}。 假 设 aE10,1}), 则 用 以 下 方 
式 表 示 真 值 赋 值 c 一 "<a 二 ,其 定义 如 下 : 

a 二 

ow) vw 

如 果 f 是 QBF(V) 中 的 一 个 表达 式 ,o 是 一 个 真 值 赋值 .ol 二 表示 在 赋值 o 的 情况 
下 ,为 真 。 因 此 : 

(1) ol 二 v 车 o(v) 二 1; 

(2) o|=- 了 ff 车 ol| 关 ff; 

(3) ol 二 J/Vg 车 (oc|= 二 =f)V (ol==g); 

(4) o|= 二 fAg 若 (o|=f)A (ol|=g); 

(5) ol 二 3vf 若 (oc 二 v0 二 | 二 1)V (Co<u 和 1 二 | 一 丰 ); 

(6) o|= Vvf 若 (oc 二 v0>|=f) 人 (cc<<o< 一 1 二 | 一 让 )。 

QBF 表达 式 和 普通 的 命题 表达 式 具 有 同样 的 表达 能 力 , 但 在 符号 模型 检验 过 程 
中 使 用 更 方便 。 每 一 个 QBF 表达 式 确定 了 一 个 集合 V 上 的 元 布尔 关系 。 前 面 曾 
经 介绍 了 如 何 将 一 个 命题 逻辑 转换 成 OBDD 方式 。QBF 中 的 量词 可 以 转换 成 以 下 
组 合 表达 方式 : 

C1 Bef= fo Vf eis 

(2) VzF 一 FA 一。 

符号 模型 检验 的 算法 主要 通过 一 个 Check 函数 实现 ,该 函数 的 输入 参数 是 代 检 
验 的 CTL 表达 式 , 返 回 的 是 使 该 表达 式 为 真 的 状态 的 OBDD 描述 。 当 然 ,其 返回 值 
也 依赖 于 被 检测 系统 的 转换 关系 的 OBDD 描述 。 

如 果 f 是 一 个 原子 命题 a , 则 Check(f) 是 满足 命题 a 的 状态 的 OBDD 描述 。 

如 果 一 户 和 人 上 户 或 者 f= 一刻 , 则 Check(f) 通 过 16.2.5 小节 中 介绍 的 Apply 
算法 获得 。 

对 于 EXf,EL[fUg]j] 和 EGf, 则 通过 以 下 方式 处 理 : 

(1) Check (EXf)=CheckEX(Check(f)) 

(2) Check (ELfUsg|)=CheckEU(Check(f),Check(g)) 

(3) Check (EGf)=CheckEG(Check(f)) 

其 中 ,CheckEX、CheckEU、CheckEG 参数 都 是 OBDD 的 形式 ,而 Check 参数 是 
CTL 表达 式 的 形式 。 由 于 所 有 的 时 序 逻 辑 操作 符 都 可 以 通过 以 上 的 形式 表达 .所 以 
以 上 的 定义 涵盖 了 所 有 的 时 序 逻 辑 操作 符 。 

对 于 CheckEX,EXj 在 状态 为 真 , 当 且 仅 当 其 存在 一 个 后 续 状 态 s 中 了 为 
真 , 即 
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CheckEXCFCo)) 一 3 了 uCFo) A RC(v,v)] 

其 中 ,R(v,v ) 是 OBDD 中 的 转换 关系 。 如 果 有 f 和 R 的 OBDD, 则 可 以 通过 QBF 
表达 式 方 式 生成 表达 式 3v'[f(v’) 人 RC(v,v’)] 的 OBDD。 

CheckEU 是 基于 最 小 固定 点 的 特性 来 完成 的 。 

ELAPhUA]=ApZ.Pyv(CPnAEX 2) 

当 利 用 算法 Lfp 计算 时 ,将 得 到 以 下 序列 : 

Qu ,Qi Qi 

如 果 有 fg 和 当前 Q; 的 OBDD, 可 以 很 容易 地 获得 QH 。OBDD 提供 了 规范 
的 布尔 函数 表示 方式 ,很 容易 比较 二 者 的 重生 程度 。 当 Q; 一 Qii1 时 ,Lfp 算法 终止 ， 
得 到 的 Q; 就 是 对 应 于 ELf1Uf:] 的 状态 的 OBDD。 

CheckEG 和 CheckEU 类 似 , 是 基于 最 大 固定 节点 特性 , 即 

EG 六 一 zZ.PAEX Z 

根据 以 上 介绍 的 对 各 种 典型 表达 式 的 检验 方法 ,可 以 将 一 个 大 的 表达 式 拆 成 不 
同 的 子 表达 式 。 

以 上 仅仅 介绍 了 模型 校 验 最 基础 的 思想 和 方法 ,关于 模型 校 验 的 研究 相当 广泛 ， 
仍 有 很 多 问题 还 处 于 研究 阶段 中 ,如 根据 源 程序 自动 构造 相应 的 描述 模型 等 。 在 文 
献 L6] 中 对 模型 校 验 的 问题 作 了 较为 系统 和 深入 的 介绍 , 感 兴 趣 的 读者 可 以 仔细 阅 
读 ,一 些 研 究 动 态 在 该 书 作 者 Edmund M. Clarke 的 个 人 主页 中 也 有 大 量 介 绍 ,读者 
可 随时 关注 。 


16.3 动态 污点 传播 


动态 污点 传播 分 析 (dynamic taint propagation analysis) 主要 是 在 程序 运行 过 程 
中 对 特定 的 数据 进行 追踪 ,是 一 种 典型 的 动态 数据 流 分 析 方 法 。 目 前 被 广泛 应 用 于 
程序 的 安全 性 分 析 漏洞 发 气 和 恶意 代码 行为 分 析 之 中 。 

动态 污点 传播 技术 是 通过 对 敏感 信息 进行 标记 ,跟踪 记录 污点 数据 被 可 执行 代 
码 引 用 和 执行 的 情况 ,从 而 得 到 代码 对 污点 数据 的 操作 流程 。 分 析 过 程 中 ,可 以 根据 
预先 设 定 的 规则 判断 污点 数据 的 使 用 方式 是 否 合法 ,并 获得 污点 数据 操作 的 细节 。 
污点 传播 技术 可 以 提供 有 关 污 点 数据 执行 的 大 量 真实 可 靠 的 信息 ,因此 基于 动态 污 
点 传播 技术 可 以 构造 功能 强大 、 性 能 优越 的 代码 分 析 和 实时 监控 系统 。 

在 接 下 来 的 部 分 ,将 按 以 下 方式 介绍 动态 污点 传播 技术 。 首 先 , 归 纳 总 结 动态 污 
点 技术 的 特点 和 优势 ;然后 ,介绍 基于 动态 污点 传播 的 分 析 系 统 的 基本 组 成 和 工作 原 
理 , 对 主要 的 技术 环节 进行 分 析 ; 最 后 ,将 讨论 基于 动态 传播 的 分 析 系 统 的 实现 方式 ， 
并 分 析 系 统 实现 需要 解决 的 关键 问题 。 

基于 动态 污点 传播 技术 的 代码 分 析 能 够 根据 用 户 的 关注 点 .高 效率 地 获取 真实 、 可 
靠 的 代码 执行 的 细节 信息 ,并 且 不 依赖 于 源 代码 ,因而 具有 很 好 的 分 析 性 能 和 扩展 潜 
力 , 并 有 着 广阔 的 应 用 前 景 。 具 体 而 言 ,污点 传播 技术 的 代码 分 析 具 有 以 下 的 特点 。 

第 一 ,动态 污点 传播 技术 基于 CPU 执行 指令 对 代码 进行 分 析 , 通 过 操作 CPU 
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指令 ,可 以 跟踪 获取 大 量 细节 信息 ,提供 足够 精细 的 分 析 粒 度 。 

第 二 ,基于 指令 的 这 个 特征 也 使 动态 污点 传播 分 析 方 法 不 依赖 软件 源 代码 ,立足 
于 底层 ,比分 析 对 象 有 更 高 的 权限 ,因此 分 析 所 受 的 干扰 小 ,获取 信息 真实 可 靠 , 分 析 
准确 性 高 ,可 以 有 效 降 低 漏 报 率 和 误 报 率 。 

第 三 ,基于 污点 传播 的 分 析 可 以 通过 对 污点 源 、 传 播 方式 及 判定 规则 的 设计 , 进 
行 有 针对 性 的 分 析 ,分 析 任 务 多 样 化 ,分 析 粒 度 可 控 , 再 加 上 可 以 获取 足够 的 代码 执 
行 细 节 信 息 , 因 此 基于 污点 传播 的 分 析 检 测 目 标明 确 , 分 析 结 论 直 观 。 

第 四 ,动态 污点 传播 技术 可 以 在 攻击 发 生 之 前 检测 到 攻击 行为 ,并 且 可 以 检测 到 
未 知 攻击 行为 ,再 结合 它 的 其 他 特性 ,动态 污点 传播 技术 很 适合 作为 实时 监控 和 主动 
防护 系统 的 基础 技术 。 

最 后 ,基于 污点 传播 的 分 析 由 于 可 以 获得 污点 传播 过 程 记 录 和 细节 信息 ,使 得 分 
析 结 果 的 可 重 现 性 很 强 ,可靠 性 高 ,可 以 作为 语义 分 析 法 提取 攻击 特征 的 素材 ,在 自 
动 提取 攻击 特征 方面 具有 特别 的 优势 。 


16.3.1 基本 原理 


-个 基于 动态 污点 传播 的 分 析 系 统 通常 由 污点 标记 引擎 ,传播 跟踪 引擎 、 规 则 判 
上 断 引 擎 3 大 基本 功能 模块 组 成 .分 别 对 污点 源 进行 识别 和 标记 、 跟 踪 记 录 污 点 数据 的 
操作 和 传播 .判断 污点 数据 的 使 用 是 否 违背 预先 设 定 的 规则 。 除 此 之 外 ,由 于 动态 污 
点 传播 系统 本 身 具 有 很 强 的 可 扩展 性 ,根据 功能 需要 ,有 的 系统 还 有 后 续 的 恶意 代码 
特征 提取 模块 (如 TaintCheck5 ) .有 的 系统 则 加 入 了 代码 和 程序 映射 模块 等 (如 
Panoramars] ) 。 

下 面 详细 说 明 动 态 污点 分 析 系 统 的 3 大 基本 功能 模块 .并 分 析 它 们 的 工作 原理 。 

1. 污点 标记 

污点 标记 模块 对 指定 的 程序 数据 进行 污点 标记 。 本 质 上 是 为 程序 的 数据 关联 一 
个 标记 空间 (内 存 地 址 )。 如 果 这 个 数据 需要 记 为 污点 : 它 的 标记 空间 将 会 被 置 位 。 
如 果 一 个 动态 污点 分 析 系 统 需要 更 多 的 关联 信息 ,那么 污点 数据 的 标记 空间 将 指向 
一 个 描述 当前 污点 信息 的 结构 体 。 对 于 复杂 的 系统 .可 以 采用 多 种 不 同 的 污点 标记 ， 
对 各 种 污点 源 区 别 标识 ,以 求 同 时 实现 更 复杂 的 分 析 流 程 。 

为 了 分 析 的 灵活 性 和 准确 性 ,污点 标记 模块 需要 具有 对 多 种 污点 源 进 行 标记 的 能 
力 。 理 想 的 污点 标记 模块 能 够 根据 用 户 的 设计 ,识别 出 感 兴 趣 的 污点 源 并 进行 标记 。 
对 于 基于 动态 污点 传播 的 代码 分 析 系 统 , 经 常 可 能 使 用 的 污点 源 包 括 以 下 几 种 : 特定 
函数 变量 和 特定 的 内 存 地 址 、 特 定 函 数 的 返回 值 . 某 一 类 的 IO 流 、 特 定 的 IO 流 。 

2. 污点 传播 

污点 传播 模块 是 动态 污点 分 析 系 统 的 核心 . 它 追 踪 记 录 污 点 数据 在 程序 中 的 操 
作 , 判 断 是 否 感 染 新 的 数据 ,标记 新 的 污点 数据 ,并 继续 对 新 的 污点 数据 进行 追踪 。 

污点 传播 策略 是 判断 相关 数据 是 否 被 污染 的 关键 ,直接 关系 到 传播 流程 的 连续 
性 .完整 性 和 可 靠 性 ,并 最 终 影响 到 后 续 判 断 的 准确 性 ,因此 污点 传播 策略 对 整个 动 
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态 污 点 分 析 系 统 的 性 能 有 至 关 重 要 的 影响 。 总 结 已 有 的 关于 污点 传播 的 工作 ,目前 
受到 重视 的 污点 传播 方式 有 以 下 一 些 。 

(1) 直接 的 污点 传播 

直接 的 污点 传播 是 污点 数据 最 直观 、 明 显 的 传播 感染 方式 ,也 是 最 常用 的 传播 方 
式 , 可 以 分 为 以 下 两 类 。 

第 一 类 是 通过 数据 移动 指令 的 传播 。 这 类 指令 包括 LOAD、STORE、MOVE、 
PUSH、POP 等 。 如 果 源 操作 数 是 污点 数据 ,那么 目标 操作 数 就 会 被 感染 ,成 为 新 的 
污点 数据 。 

第 二 类 是 通过 算术 指令 的 传播 。 这 类 指令 包括 ADD、SUB、XOR 等 。 如 果 源 操 
作 数 中 存在 污点 数据 ,那么 操作 结果 就 会 被 感染 ,成 为 新 的 污点 数据 。 

需要 说 明 的 是 ,由 算术 指令 构成 的 常 值 函数 会 对 污点 传播 造成 一 定 的 影响 。 比 
如 XOR ax,ax 语句 ,无 论 ax 原来 的 输入 值 是 多 少 ,最 终结 果 都 为 零 。 因 此 ,理论 上 
该 语句 不 应 引起 污点 传播 ,即便 输入 的 是 污点 数据 。 但 是 常 值 函数 的 构造 可 以 是 多 
种 多 样 的 ,要 完全 识别 常 值 函数 并 制定 特殊 的 传播 策略 是 非常 困难 的 。 有 研究 表明 ， 
即便 忽略 常 值 函数 的 存在 ,只 会 使 分 析 更 趋 于 “保守 ”, 实 际 并 不 会 引起 特别 的 问题 。 
另外 ,对 含有 地 址 产生 的 语句 (如 movl $0xa, 一 12(%ebp)) 引 起 的 传播 也 有 不 同 的 
策略 ,有 的 系统 只 考虑 该 内 存 地 址 的 数据 本 身 ,而 忽略 产生 地 址 的 数据 是 否 是 污点 数 
据 , 理 由 是 污点 数据 作为 地 址 偏 移 量 是 普遍 存在 的 。 这 样 的 处 理会 造成 什么 影响 还 
没有 明确 的 结论 。 

(2) 间接 的 污点 传播 

间接 的 污点 传播 是 污点 数据 的 一 种 并 不 直观 的 感染 影响 其 他 数据 的 方式 。 和 与 
基于 数据 操作 相关 的 直接 传播 相 比 ,间接 传播 往往 与 条 件 控制 语句 相关 ,属于 控制 依 
赖 的 传播 方式 。 间 接 的 污点 传播 有 两 种 主要 形式 。 

第 一 种 是 条 件 控 制 形式 的 传播 。 污点 数据 在 条 件 判 断 语句 中 发 挥 作用 ,影响 其 
他 数据 的 值 ,从 而 达到 污点 传播 的 效果 。 比 如 下 面 的 代码 : 


switch(x) { 

Case 'a': y= "a'; break; case 'b': y= 'b'; break; ... 

} 
实现 了 xz 对 y 的 赋值 ,但 是 仅仅 通过 直接 的 污点 传播 策略 ,> 并 不 会 被 污点 数据 z 感 
染 。 另 外 ,条 件 控制 传播 通常 还 会 考虑 FLAG 寄存 器 在 污点 传播 中 的 作用 .这 也 是 
基于 数据 的 直接 传播 方式 通常 忽略 的 。 

第 二 种 是 “查找 表 ” 形 式 的 传播 。 这 种 情况 下 .污点 输入 可 能 作为 “索引 值 ”查找 
相应 的 表 项 ,再 赋值 给 某 个 变量 。 这 样 污点 数据 影响 了 该 变量 的 值 , 然 而 仅仅 通过 直 
接 的 污点 传播 , 受 污 染 的 索引 值 并 不 会 感染 其 他 变量 。 事 实 上 ,查找 表 形 式 的 传播 也 
可 以 比较 容易 地 转换 为 语义 上 等 效 的 条 件 控制 形式 的 传播 ,属于 条 件 控制 形式 传播 
的 一 种 特殊 实现 。 

利用 控制 流 图 的 术语 ,可 以 描述 一 般 形式 的 条 件 控制 传播 的 算法 如 下 : 
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(1) 当 执 行 到 一 个 条 件 分 支 语 句 br 时 ,计算 br 的 所 有 源 操作 数 的 污点 标记 集 
合 为 taint, 并 向 集合 S 添加 二 br，taint 二 项 ; 

(2) 当 执 行 到 br 的 直接 后 控制 节点 是 ,删除 集合 S 中 所 有 的 过 br，y 一 形式 的 项 ; 

(3) 当 执 行 到 任意 语句 st 时 ,如 果 和 集合 S 不 为 空 , 则 把 S 中 每 一 项 的 taint 添加 
到 st 的 目标 操作 数 的 taint 中 去 。 

虽然 间接 的 污点 传播 方式 比较 隐蔽 ,实现 起 来 也 比较 复杂 ,但 是 有 研究 表明 , 间 
接 的 基于 条 件 控制 的 污点 传播 是 普遍 存在 的 ,如 果 忽 略 这 类 传播 ,将 会 明显 地 减少 污 
点 传播 感染 的 数据 ,可 能 对 分 析 结 果 造 成 影响 。 


3. 规则 判断 

规则 判断 模块 检查 污点 数据 是 否 被 非法 使 用 ,并 根据 非法 使 用 具体 违背 的 规则 ， 
从 而 判断 恶意 操作 的 性 质 以 及 软件 漏洞 的 详情 。 

当 使 用 动态 污点 分 析 系 统 进行 代码 分 析 时 ,结合 具体 的 分 析 目 标 ,可 以 设 定 特 定 
的 判断 规则 ,使 得 分 析 结 果 更 加 具有 针对 性 。 在 利用 动态 污点 分 析 系 统 作为 漏洞 发 
掘 工具 或 者 实时 监控 系统 时 ,往往 会 根据 常见 的 恶意 代码 对 污点 数据 的 非法 操作 特 
性 ,使 用 归纳 总 结 出 的 通用 规则 进行 判断 。 从 这 个 意义 上 讲 ,动态 污点 传播 系统 似乎 
只 能 应 对 已 知 的 恶意 行为 。 但 事实 上 ,由 于 动态 污点 传播 系统 的 分 析 对 象 已 经 很 靠 
近 底 层 ,几乎 都 是 对 各 种 恶意 攻击 行为 最 根本 、 最 本 质 的 一 环 进行 审计 ,因此 所 使 用 
的 判断 规则 的 归纳 性 和 覆盖 性 很 强 。 实 验 表 明 ,少数 几 条 通用 规则 足以 覆盖 几乎 所 
有 的 恶意 攻击 行为 。 

用 来 判断 污点 数据 非法 使 用 的 常见 的 通用 规则 包括 以 下 几 种 。 

(1) 污点 数据 用 作 跳 转 地 址 。 这 是 污点 数据 最 常见 的 一 种 非法 使 用 。 跳 转 地址 
包括 函数 返回 地 址 、 函 数 指针 、 函 数 指针 的 偏 移 量 。 这 种 攻击 行为 往往 是 为 了 将 代码 
执行 流程 重 定 向 , 转 到 攻击 者 代码 、 特 权 库 函数 或 程序 的 其 他 地 址 (比如 用 以 绕 过 安 
全 检查 部 分 )。 正 常情 况 下 ,污点 数据 不 会 被 用 来 作为 跳 转 对 象 , 因 此 这 条 判断 规则 
的 误 报 率 很 低 。 

(2) 污点 数据 用 作 格 式 字 符 串 。 这 是 针对 格式 字符 串 攻击 的 一 条 检测 规则 。 

(3) 污点 数据 用 作 系 统 调用 参数 。 根 据 需要 可 以 利用 这 条 规则 保护 某 些 敏感 系 
统 调用 的 参数 不 被 污点 数据 算 改 。 

(4) 污点 数据 用 作 特 定 函 数 或 库 函 数 的 输入 。 和 上 面 一 条 规则 类 似 , 也 是 为 了 
防止 已 知 不 应 使 用 污点 数据 作为 输入 参量 的 函数 的 输入 被 污点 数据 所 算 改 。 

最 后 ,需要 特别 说 明 间 接 的 污点 传播 的 判定 规则 问题 。 如 前 所 述 . 间 接 的 污点 传 
播 有 它 的 合理 性 ,但 正如 实验 表明 的 那样 ,使 用 污点 数据 影响 条 件 控制 在 正常 软件 中 
是 普遍 合法 存在 的 .引入 间接 的 污点 传播 后 会 使 污点 数据 成 倍 扩张 ,有 可 能 使 得 本 来 
合法 的 使 用 也 违背 某 些 通用 的 判定 规则 .引起 误 报 发 生 。 因 此 .有 的 动态 污点 传播 系 
统 禁用 了 间接 的 污点 传播 策略 ,而 引入 间接 的 污点 传播 后 如 何 制定 具有 区 分 度 的 判 
定 规则 目前 还 没有 结论 。 
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16.3.2 系统 的 实现 


动态 污点 分 析 系 统 需 要 对 CPU 执行 指令 进行 操作 ,因此 通常 借助 虚拟 机 环境 
或 者 专门 的 DBI(Dynamic Binary Instrument) 工 具 ,构造 相应 的 功能 模块 ,对 执行 指 
令 进行 提取 标记、 分 析 。 为 了 便于 改造 ,往往 使 用 开源 的 系统 ,如 gemu 虚拟 机 或 
Valgrind DBI 工具 。 

以 基于 Valgrind 的 TaintCheckc 的 实现 为 例 。 首 先 ,Valgrind 采用 “ 反 汇 编 - 重 
组 ”的 工作 流程 ,把 X86 指令 (二 进 制 代码 ) 分 块 翻译 成 它 自己 的 一 套 RISC 类 似 的 指 
令 集 , 称 为 UCode 块 。TaintCheck 在 UCode 块 上 租 入 taint 分 析 代 码 , 然 后 将 改 好 
的 UCode 块 传 回 给 Valgrind, Valgrind 再 将 UCode 块 译 回 X86 指令 ,并 在 自己 的 环 
境 中 执行 。 已 经 做 过 处 理 的 UCode 块 会 保留 在 Valgrind 的 缓存 中 ,避免 多 次 使 用 
时 重复 转换 的 问题 。Panarama 等 污点 传播 分 析 系 统 也 大 致 采用 了 类 似 的 结构 。 

下 面 将 说 明 实 现 动态 污点 分 析 系 统 的 关键 环节 影子 内 存 (shadow memery) 
和 目前 已 经 实现 的 动态 污点 分 析 系 统 的 性 能 和 局 限 性 。 


1. 影子 内 存 

动态 污点 分 析 系 统 最 为 核心 的 要 求 是 实现 对 “影子 内 存 ” 的 支持 ,这 也 是 动态 污 
点 分 析 系 统 结构 上 最 大 的 特点 。 在 动态 污点 分 析 系 统 中 ,执行 代码 内 存 空间 的 每 个 
字 节 都 被 分 配 一 段 对 应 的 影子 内 存 ,记录 污 点 标记 。 影 子 内 存 的 大 小 根据 需要 决定 ， 
完善 的 分 析 系 统 的 影子 内 存 通常 具有 多 层次 的 组 织 结构 ,甚至 有 类 似 页 表 的 机 制 以 
扩展 空间 。 以 TaintCheck 为 例 ,每 个 数据 (内 存 中 的 每 个 字 节 ) ,包括 寄存 器 、 栈 、 堆 
等 ,都 配 有 一 个 4 字 节 的 影子 内 存 , 如 果 数 据 被 污染 , 则 向 它 的 影子 内 存 存 人 一 个 指 
针 ,指向 一 个 为 它 分 配 的 记录 taint 信息 的 数据 结构 ;否则 ,影子 内 存 为 空 指针 。 从 某 
种 意义 上 讲 ,污点 分 析 系 统 的 运行 实质 上 就 是 产生 并 维护 代码 执行 空间 和 污点 记录 
空间 之 间 的 映射 关系 。 

在 对 影子 内 存 的 功能 支持 方面 ,虚拟 机 环境 具有 天 然 的 优势 。 重 型 的 DBI 工具 
如 Valgrind 也 实现 了 影子 内 存 的 功能 , 称 为 value shadow。 参 考 文献 [10] 中 详细 讨 
论 了 DBI 工具 实现 影子 内 存 支持 需要 满足 的 要 求 。 


2. 性 能 和 局 限 

动态 污点 分 析 系 统 往往 基于 虚拟 机 环境 或 者 专门 的 DBI 工具 实现 ,不 可 避免 地 
造成 代码 执行 效率 的 下 降 。 一 个 应 用 如 果 运 行 在 动态 污点 分 析 系 统 之 中 ,实验 表明 
使 用 基于 Valgrind 的 TaintCheck 会 有 6 一 40 倍 的 性 能 下 降 ,而 使 用 基于 Qemu 的 
Panorama 时 性 能 下 降 在 20 倍 左右 。 对 于 代码 分 析 而 言 , 这 是 可 以 接受 的 。 对 于 使 
用 动态 污点 传播 的 主动 防护 系统 ,这 样 的 性 能 下 降 会 对 应 用 造成 一 些 影响 。 不 过 实 
验 表 明 对 于 具有 IO 性 能 约束 的 应 用 ,这 样 的 代码 执行 性 能 仍然 具有 实用 性 。 

基于 虚拟 机 环境 或 者 专门 的 DBI 工具 实现 动态 污点 分 析 系 统 , 另 一 方面 也 带 来 
分 析 方 面 的 一 定 的 局 限 性 。 比 如 ,改造 自 虚 拟 机 的 污点 分 析 系 统 ,往往 会 继承 基于 虚 
拟 机 的 代码 分 析 的 常见 缺陷 .比如 恶意 代码 可 能 检测 运行 环境 并 选择 执行 流程 ,不 表 
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现 出 恶意 行为 ,从 而 导致 检测 失败 ;恶意 代码 甚至 可 以 利用 虚拟 机 自身 的 漏洞 展开 攻 
击 , 使 虚拟 机 系统 崩溃 ,致使 分 析 无 法 进行 。 基 于 DBI 工具 的 系统 实现 ,同样 可 能 面 
临 类 似 的 问题 。 


16.4 注 记 
当前 软件 分 析 相 关 研 究 比 较 活跃 ,涉及 多 种 基础 理论 与 技术 ,本 章 仅 介绍 了 几 种 


典型 的 方法 与 技术 。 符 号 执行 .软件 测试 等 方法 与 技术 在 软件 分 析 中 也 得 到 广泛 应 
用 , 感 兴趣 的 读者 可 参阅 文献 [11,12]。 
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